On Tue, Sep 29, 2015 at 12:09:21PM +0300, Max Dmitrichenko wrote: > 29 сентября 2015 г., 11:08 пользователь Eugene Berdnikov > <[email protected]> написал: > > Поскольку "чёрный ящик", в нём может жить некая сущность, рвущая > > коннекции по своему усмотрению. Типичные гадости такого рода делаются > > железками от Cisco, с их бредовыми inspect'ами и rate limit'ами. > > Опознаётся подлянка по id'ам, ttl'ам и прочим деталям, отличающим > > посторонние RST от тех, которые генерит ядро сервера. > > Да, TTL действительно отличается. У SYN-ACK и других пакетов он 125, а > у этого RST - 254.
Вот и ответ. Вероятно, это циска, она рвёт коннекции пакетами с ttl=255. То есть между ней и тем местом, где снимался дамп, ровно один роутер. А сервер, подозреваю, под Windows, между ним и вредителем ещё 1 роутер. -- Eugene Berdnikov
