[緊急求助] Received duplicate SYN, resetting timer and retransmitting SYN|ACK

kk298

有台FreeBSD 7.0(x64)的Lighttpd Web Server, 第1次連线上去或等idle-time过后再連线上去, 要5至8秒才能打开静态页面,
是100M专线, 只我一人連线, 我的IPFW己设定为除port 80外全DENY:

00001 allow ip from any to any via lo0
00002 allow tcp from any to 11.22.33.44 dst-port 80 in via em0
00003 allow tcp from 11.22.33.44 80 to any out via em0
00060 allow udp from 11.22.33.44 to 1.2.3.4 dst-port 53 out via em0
00073 deny log logamount 10 icmp from any to any via em0
00199 deny log logamount 10 ip from any to any
65535 deny ip from any to any

在/var/log/messages出现大量以下Log, 不知是否导致連线慢的原因呢? 请各位大大指点一下: 谢谢~
May 12 11:57:54 mail kernel: TCP: [55.66.77.88]:41792 to [11.22.33.44]:80 tcpflags 0x2<SYN>; syncache_add: Received duplicate SYN, resetting timer and retransmitting SYN|ACK
May 12 15:17:53 mail kernel: TCP: [55.66.77.88]:45979 to [11.22.33.44]:63372 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1448 bytes of data after socket was closed, sending RST and removing tcpcb
May 12 15:17:53 mail kernel: TCP: [55.66.77.88]:21 to [11.22.33.44]:55007 tcpflags 0x18<PUSH,ACK>; tcp_do_segment: FIN_WAIT_2: Received 13 bytes of data after socket was closed, sending RST and removing tcpcb
May 12 22:26:16 mail kernel: TCP: [55.66.77.88]:23439 to [11.22.33.44]:80 tcpflags 0x18<PUSH>; syncache_expand: SEQ 2071739782 != IRS+1 2071738353, segment rejected


[ 本帖最后由 kk298 于 2008-5-14 12:05 编辑 ]

kk298

為了加上ipfw, 我是有重编新Kernel, 用的是以下指令:
make cleandepend && make depend && make && make install       

我已关掉ipfw, 从家中经Internet连线至Server,
初连线仍很慢,且有那些Log.

但当我用一部手提电脑直接连线至Server的em0 (Public IP),
并将手提电脑IP改為Public IP.
或直接连线至Server的em1 (Private IP,NAT),
并将手提电脑IP改為Private IP
则以上现象全消失了 ....

这究竟是怎麼回事呀?
初连线很慢, 究竟是什麼原因呀?

剑心通明老大呀, 请和cvsup make world有关?

请指点一下, 万分感谢~

[ 本帖最后由 kk298 于 2008-5-14 11:17 编辑 ]

lsstarboy

提点看法，水平有高，仅供参考：
1、少一句和60配对的语句。让dns包进入你的机器。
   00061 allow udp from 1.2.3.4 53 to any in via em0
2、第2条和第3条的风格不一致，要么全写dst-port和src-port，要么全不写。不一致看起来老觉得别扭。
3、没配置过Lighttpd，它是不是需要从哪儿下载些东西？看下面的包，好象还有个ftp的。
4、出现messages的原因，如果排除正常的原因，很可能是受到的攻击，因为那些都是半tcp连接。三次握手都不全。
5、把logamount设置大一些，至少到1000，看一下日志，也许能找出原因。

kk298

出现messages的原因，如果排除正常的原因，很可能是受到的攻击，因为那些都是半tcp连接。三次握手都不全。

绝不是受到攻击, 我确定那IP是我计算机的IP ….


试过ipfw只用allow all一句, 仍然出现相同的的信息...

相信与ipfw无关…

[ 本帖最后由 kk298 于 2008-5-15 12:04 编辑 ]

sunwaylove

你可以向版主寻求帮助（标题上注明），不过冲你这口气，估计。。。
我也是你所说的不懂FreeBSD的低手，你给的信息不多，猜测可能是syn attack 或者UDP flooding 可以在ipf上配置一下。
还有弱弱的问一句，你的FB7 系统优化编译过了没。

剑心通明

cvsup make world吧

剑心通明

请认真审视一下您的态度！这里没人有责任和义务帮你解决问题，也没人规定这里必须有人能帮你解决掉问题！

剑心通明

把提示在google里面搜索下，似乎这个问题只存在7.0上，6.x没有问题，建议cvsup，make world到最新的，好像已经有p1了吧。

kk298

谢谢 剑心通明 老大 ....

lsstarboy

只留一句：
ipfw add allow log logamount 1000  ip from any to any

然后看日志/var/log/security，应该可以看出门道。