amarao (amarao_san) wrote,
amarao
amarao_san

Админская суперзадача

Попробуйте понять, что происходило с той стороны сервера (это реально challenge для админов, это не потроллить на тему "не работает").
 curl -vvv https://arstechnica.com/
*   Trying 50.31.169.131...
* TCP_NODELAY set
* Connected to arstechnica.com (50.31.169.131) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to arstechnica.com:443 
* stopped the pause stream!
* Closing connection 0
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to arstechnica.com:443 


tcpdump:


18:40:29.855302 IP 192.168.1.17.55326 > 50.31.169.131.443: Flags [SEW], seq 746562814, win 29200, options [mss 1460,sackOK,TS val 1472424842 ecr 0,nop,wscale 7], length 0
	0x0000:  4500 003c 60e7 4000 4006 3c79 c0a8 0111  E..<`.@.@. 192.168.1.17.55326: Flags [S.E], seq 1675343007, ack 746562815, win 28960, options [mss 1460,sackOK,TS val 142884812 ecr 1472424842,nop,wscale 7], length 0
	0x0000:  4500 003c 0000 4000 3106 ac60 321f a983  E..<..@.1..`2...
	0x0010:  c0a8 0111 01bb d81e 63db b49f 2c7f a4ff  ........c...,...
	0x0020:  a052 7120 69c2 0000 0204 05b4 0402 080a  .Rq.i...........
	0x0030:  0884 3fcc 57c3 6b8a 0103 0307            ..?.W.k.....
18:40:30.025154 IP 192.168.1.17.55326 > 50.31.169.131.443: Flags [.], ack 1, win 229, options [nop,nop,TS val 1472425012 ecr 142884812], length 0
	0x0000:  4500 0034 60e8 4000 4006 3c80 c0a8 0111  E..4`.@.@.<.....
	0x0010:  321f a983 d81e 01bb 2c7f a4ff 63db b4a0  2.......,...c...
	0x0020:  8010 00e5 9d82 0000 0101 080a 57c3 6c34  ............W.l4
	0x0030:  0884 3fcc                                ..?.
18:40:30.029533 IP 192.168.1.17.55326 > 50.31.169.131.443: Flags [P.], seq 1:518, ack 1, win 229, options [nop,nop,TS val 1472425017 ecr 142884812], length 517
	0x0000:  4502 0239 60e9 4000 4006 3a78 c0a8 0111  E..9`.@.@.:x....
	0x0010:  321f a983 d81e 01bb 2c7f a4ff 63db b4a0  2.......,...c...
	0x0020:  8018 00e5 9f87 0000 0101 080a 57c3 6c39  ............W.l9
	0x0030:  0884 3fcc 1603 0102 0001 0001 fc03 0313  ..?.............
	0x0040:  e081 4ec2 ac0c b7bc 57a0 9bfd 11b5 caef  ..N.....W.......
	0x0050:  0669 3bdd 4a51 a589 16b9 8b55 9397 eb20  .i;.JQ.....U....
	0x0060:  6233 0d6d b01b 2bfb 7313 e88c c4b8 add2  b3.m..+.s.......
	0x0070:  ac69 6496 fa6e 92f5 8499 50bd 2144 9446  .id..n....P.!D.F
	0x0080:  003e 1302 1303 1301 c02c c030 009f cca9  .>.......,.0....
	0x0090:  cca8 ccaa c02b c02f 009e c024 c028 006b  .....+./...$.(.k
	0x00a0:  c023 c027 0067 c00a c014 0039 c009 c013  .#.'.g.....9....
	0x00b0:  0033 009d 009c 003d 003c 0035 002f 00ff  .3.....=.<.5./..
	0x00c0:  0100 0175 0000 0014 0012 0000 0f61 7273  ...u.........ars
	0x00d0:  7465 6368 6e69 6361 2e63 6f6d 000b 0004  technica.com....
	0x00e0:  0300 0102 000a 000c 000a 001d 0017 001e  ................
	0x00f0:  0019 0018 3374 0000 0010 000e 000c 0268  ....3t.........h
	0x0100:  3208 6874 7470 2f31 2e31 0016 0000 0017  2.http/1.1......
	0x0110:  0000 000d 0030 002e 0403 0503 0603 0807  .....0..........
	0x0120:  0808 0809 080a 080b 0804 0805 0806 0401  ................
	0x0130:  0501 0601 0303 0203 0301 0201 0302 0202  ................
	0x0140:  0402 0502 0602 002b 0009 0803 0403 0303  .......+........
	0x0150:  0203 0100 2d00 0201 0100 3300 2600 2400  ....-.....3.&.$.
	0x0160:  1d00 20bf 3aaf 64ec e393 3ae6 5f86 e115  ....:.d...:._...
	0x0170:  e3ac 028b 12c2 403b e550 b11f a6eb 91d8  ......@;.P......
	0x0180:  ac43 7000 1500 b200 0000 0000 0000 0000  .Cp.............
	0x0190:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x01a0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x01b0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x01c0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x01d0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x01e0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x01f0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0200:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0210:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0220:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0230:  0000 0000 0000 0000 00                   .........
18:40:30.229561 IP 50.31.169.131.443 > 192.168.1.17.55326: Flags [F.], seq 1, ack 1, win 227, options [nop,nop,TS val 142884854 ecr 1472425012], length 0
	0x0000:  4500 0034 8b56 4000 3106 2112 321f a983  E..4.V@.1.!.2...
	0x0010:  c0a8 0111 01bb d81e 63db b4a0 2c7f a4ff  ........c...,...
	0x0020:  8011 00e3 0837 0000 0101 080a 0884 3ff6  .....7........?.
	0x0030:  57c3 6c34                                W.l4
18:40:30.229628 IP 50.31.169.131.443 > 192.168.1.17.55326: Flags [R], seq 1675343008, win 0, length 0
	0x0000:  450a 0028 6acb 4000 3106 419f 321f a983  E..(j.@.1.A.2...
	0x0010:  c0a8 0111 01bb d81e 63db b4a0 0000 0000  ........c.......
	0x0020:  5004 0000 202f 0000 0000 0000 0000       P..../........


У меня есть гипотеза, я её напишу чуть позже.

Спойлер: Моя гипотеза: syn-proxy, за которым валяется ssl'ный сайт. Прокся убеждается, что сессия настоящая, и шлёт на апстрим (только после того, как получит данные), а тот RST, откуда у нас Fin и образуется.
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 13 comments