29 сентября 2015 г., 11:08 пользователь Eugene Berdnikov <b...@protva.ru> написал: > On Tue, Sep 29, 2015 at 10:57:42AM +0300, Max Dmitrichenko wrote: >> > На дамп можно глянуть? Лучше всего в формате pcap. >> >> К сожалению в силу ряда причин нет ( > > Откуда тогда такие подробные сведения о механизме сбоя? Кто-то же > должен был смотреть дамп трафика, чтобы рассуждать о SYNах, RST...
У меня-то дамп есть. Просто я не уверен, что уполномочен им поделится с вами. > Поскольку "чёрный ящик", в нём может жить некая сущность, рвущая > коннекции по своему усмотрению. Типичные гадости такого рода делаются > железками от Cisco, с их бредовыми inspect'ами и rate limit'ами. > Опознаётся подлянка по id'ам, ttl'ам и прочим деталям, отличающим > посторонние RST от тех, которые генерит ядро сервера. Да, TTL действительно отличается. У SYN-ACK и других пакетов он 125, а у этого RST - 254. -- With best regards Max Dmitrichenko