Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Winroute: time-out TCP соединений 30.04.04 11:07
Автор: Slava_Verbov Статус: Незарегистрированный пользователь
|
Приветствую всех!
Вопрос знатокам Винроута. Поставил Kerio Winroute Firewall 5.1.8 на WinXP Rus без SP1. До этого стоял Winroute 4.2.5 и проблемы, о которой я ниже напишу, не было.
Во время установления TCP соединения Винроут первоначально назначает тайм-аут незавершённому соединению 1 мин 20 сек (судя по адмистративной консоли). И если с удалённого компутера за это время не приходит ACK или RST, то соединение должно вычёркнуться из NAT по тайм-ауту. Если соединение установилось, то тайм-аут меняется на 40 минут. Но это в теории, на практике получается так: если при попытке установления TCP соединения на несуществующий/отключенный компутер отправляется один или два SYN пакета (приложение видимо слишком быстро закрывает сокет) с одним и тем же номером исходящего порта, то тайм-аут назначается правильно - 1 мин 20 сек; если отправляется три SYN пакета (наверное по умолчанию для WinXp), то через 7-9 сек тайм-аут меняется на 40 мин, как будто соединение уже установилось :-( Вот лог из debug-журнала:
[30/Apr/2004 12:31:34] to LAN, proto:TCP, len:52, ip/port:172.31.88.17:3552 -> 100.100.100.100:55555, flags: SYN , seq:2209562972 ack:0, win:64240, tcplen:0
[30/Apr/2004 12:31:37] to LAN, proto:TCP, len:52, ip/port:172.31.88.17:3552 -> 100.100.100.100:55555, flags: SYN , seq:2209562972 ack:0, win:64240, tcplen:0
[30/Apr/2004 12:31:43] to LAN, proto:TCP, len:52, ip/port:172.31.88.17:3552 -> 100.100.100.100:55555, flags: SYN , seq:2209562972 ack:0, win:64240, tcplen:0
Время между отправкой первого и третьего пакетов составляет 9 сек, как раз через это время тайм-аут вместо 1:11 (на тот момент) становится 40:00. На компах, которые выходят в корпоративную сеть через Winroute (да и на компе с самим Winroute) стоит специализированное ПО, которое автоматически пытается соединиться с удалённым сервером каждые пол-минуты, когда тот падает или связь с ним по какой-либо причине пропадает. Из-за неправильных таймаутов число соединений через Winroute возрастает почти до двухсот, комп начинает страшно тормозить. И страшно представить, что будет, если один из компов поймает любой сканирующий вирус...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
