Чому існують встановлені пакети без попереднього SYN_SENT або SYN_RECV

Я відкриваю два вікна з бічними сторонами, одне з: netstat -anutpc | grep ESTABLISHED | grep kdeінше з netstat -anutpc | grep -e SYN_SENT -e SYN_RECV, потім запускаю konquerorі переходжу на youtube.

У мене було два IP-адреси, на які мій комп'ютер надіслав SYN_SENT(ні SYN_RECV), але я отримав деякий IP-адресу у вікні ESTABLISHEDмоніторингу, у якого немає іншого аналога в іншому башті.

Я просто намагаюся зрозуміти, як працює вся ця річ, чи можете ви пояснити, чому є пакети, що є частиною встановленого з'єднання, які ніколи не ініціювались? Я думаю, що закриття konqueror більше 2 хвилин має закрити всі з'єднання, пов’язані з програмним забезпеченням, тому якщо я повторно відкрию його через 2 хвилини після того, як він повинен повторно передати всі пакети SYN.

Я здогадуюсь, що рукостискання просто відбувається занадто швидко, щоб ваш моніторинг помітив. -cВаріант не дуже безперервний; все, що це робиться, це повторювати висновок щосекунди , і більшість рукостискань TCP насправді відбуваються набагато швидше, ніж це.

Якщо ви дійсно хочете живу стрічку, скористайтеся одним із наступних дій:

• Linux події conntrack - показує нові та зруйновані з'єднання у міру того, як їх бачить брандмауер:

  conntrack -E -p tcp
  

  Використовувати лише -p tcpдля фільтра TCP; інакше він також покаже UDP. Навіть незважаючи на те, що сам UDP не пов'язаний, штати зберігаються для брандмауера або NAT.

• Сирі пакети TCP / IP - показує пакети TCP з прапорами SYN, FIN або RST:

  tcpdump -n -i eth0 "tcp[tcpflags] & (tcp-syn|tcp-fin|tcp-rst) != 0"
  
  tshark -n -i eth0 "tcp[tcpflags] & (tcp-syn|tcp-fin|tcp-rst) != 0"
  

  (Ви можете також просто відфільтрувати "tcp"або видалити фільтр повністю.)