DNS: kaputtes Reply von ARIN

18/12/2009 - 08:51 von Friedemann Stoyan | Report spam
Hallo NG!

Ich beobachte hier ein Verhalten, auf welches ich mir kein Bild machen kann.
Erstmal die Daten:

1 0.000000 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 TCP 40257 53 40257 > 53 [SYN, ECN, CWR] Seq=0 WinV80 Len=0 MSS20 TSVW6941463 TSER=0 WS=6
2 0.169178 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [SYN, ACK] Seq=0 Ack=1 WinW12 Len=0 MSS40 TSV669400595 TSERW6941463 WS=7
3 0.169294 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 TCP 40257 53 40257 > 53 [ACK] Seq=1 Ack=1 WinV96 Len=0 TSVW6941505 TSER669400595
4 0.169925 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 DNS 40257 53 Standard query DNSKEY 6.0.1.0.0.2.ip6.arpa
5 0.341142 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [ACK] Seq=1 AckA WinW60 Len=0 TSV669400767 TSERW6941505
6 0.343958 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 Standard query response DNSKEY DNSKEY DNSKEY
7 0.344050 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 TCP 40257 53 40257 > 53 [ACK] SeqA Ack•1 Win…12 Len=0 TSVW6941549 TSER669400767
8 0.345570 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 TCP 40257 53 40257 > 53 [FIN, ACK] SeqA Ack•1 Win…12 Len=0 TSVW6941549 TSER669400767
9 0.512841 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [RST] Seq•1 Win=0 Len=0
10 0.517261 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [RST] Seq•1 Win=0 Len=0
11 0.848287 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 Standard query response DNSKEY DNSKEY DNSKEY
12 0.848380 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0
13 1.857958 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 [TCP Retransmission] Standard query response DNSKEY DNSKEY DNSKEY
14 1.858048 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0
15 3.872827 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 [TCP Retransmission] Standard query response DNSKEY DNSKEY DNSKEY
16 3.872920 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0
17 7.904814 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 [TCP Retransmission] Standard query response DNSKEY DNSKEY DNSKEY
18 7.904906 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0
19 15.967374 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 [TCP Retransmission] Standard query response DNSKEY DNSKEY DNSKEY
20 15.967486 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0
21 30.344084 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [FIN, ACK] Seq•1 Ack=1 WinE Len=0 TSV669430769 TSERW6941505
22 30.344169 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0
23 32.096100 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 [TCP Retransmission] Standard query response DNSKEY DNSKEY DNSKEY
24 32.096194 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0
25 64.350128 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 [TCP Retransmission] Standard query response DNSKEY DNSKEY DNSKEY
26 64.350219 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0
27 128.861391 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 [TCP Retransmission] Standard query response DNSKEY DNSKEY DNSKEY
28 128.861477 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0

* Pakete 1-8
DNS Query per tcp. Wird korrekt auf- und abgebaut.

* Pakete 9-10
2001:500:13::c7d4:35 sendet noch zweimal RST. Gut, wenn es
schönmacht...

* Pakete 11 und folgende
Plötzlich glaubt 2001:500:13::102 für die bereits geschlossene
Verbindung antworten zu müssen. Das wird natürlich per RST
verweigert.

Irgendwie kann ich da nicht mehr folgen. Wieso dieses? Kaputte
Loadbalancer?

mfg Friedemann
 

Lesen sie die antworten

#1 Juergen P. Meier
19/12/2009 - 08:23 | Warnen spam
Friedemann Stoyan :
Hallo NG!

Ich beobachte hier ein Verhalten, auf welches ich mir kein Bild machen kann.
Erstmal die Daten:

1 0.000000 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 TCP 40257 53 40257 > 53 [SYN, ECN, CWR] Seq=0 WinV80 Len=0 MSS20 TSVW6941463 TSER=0 WS=6
2 0.169178 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [SYN, ACK] Seq=0 Ack=1 WinW12 Len=0 MSS40 TSV669400595 TSERW6941463 WS=7
3 0.169294 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 TCP 40257 53 40257 > 53 [ACK] Seq=1 Ack=1 WinV96 Len=0 TSVW6941505 TSER669400595
4 0.169925 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 DNS 40257 53 Standard query DNSKEY 6.0.1.0.0.2.ip6.arpa
5 0.341142 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [ACK] Seq=1 AckA WinW60 Len=0 TSV669400767 TSERW6941505
6 0.343958 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 Standard query response DNSKEY DNSKEY DNSKEY
7 0.344050 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 TCP 40257 53 40257 > 53 [ACK] SeqA Ack•1 Win…12 Len=0 TSVW6941549 TSER669400767
8 0.345570 2a01:238:423c:fdf0::53:1 -> 2001:500:13::c7d4:35 TCP 40257 53 40257 > 53 [FIN, ACK] SeqA Ack•1 Win…12 Len=0 TSVW6941549 TSER669400767



Soweit so gut. Hier muss aber ein ACK auf das FIN+ACK kommen,
statdessen kommt ein

9 0.512841 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [RST] Seq•1 Win=0 Len=0
10 0.517261 2001:500:13::c7d4:35 -> 2a01:238:423c:fdf0::53:1 TCP 53 40257 53 > 40257 [RST] Seq•1 Win=0 Len=0



Sogar doppelt. Irgendwer hat hier TCP nicht verstanden, dysfunktionale
Paketfilter o.ae. Beschwer dich bei den Verantortlichen, die
2001:500:13::c7d4:35 betreiben und TCP kaputt machen.

11 0.848287 2001:500:13::102 -> 2a01:238:423c:fdf0::53:1 DNS 53 40257 Standard query response DNSKEY DNSKEY DNSKEY
12 0.848380 2a01:238:423c:fdf0::53:1 -> 2001:500:13::102 TCP 40257 53 40257 > 53 [RST] Seq=1 Win=0 Len=0



Hmm. Das sieht schon eher danach aus, dass da jemand bei ARIN einen
kaputten Load-balancer betreibt. -> again, beschwere dich beim
Betreiber.

Irgendwie kann ich da nicht mehr folgen. Wieso dieses? Kaputte
Loadbalancer?



Ja, danach sieht es aus. Moeglicherweise ein klassisches
Loadbalancer+NAT Setup, das mit IPv6 jetzt in die Hose geht.

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen