一、问题描述¶

Web服务器端口号随机发生变化

二、作者问题解决思路¶

2.1 抓包¶

1、Web服务器不允许登录，只能在客户端抓包

2.2 数据包分析¶

1.1号包:客户端0050-568a-2552将包交给1个叫c062-6be2-bd88的MAC地址，该地址属于默认网关，目前没发现任何异常 2.2号包:这个包从0010-f327-6186发送过来，与网关c062-6be2-bd88不一致。说明2号包和1号包走的不是同一条路径。同时TTL值经过上一次的路由按理说减1，这里没有减去1. 3.2号包的Identification(身份标识符)为0，而5号包的Identification(身份标识符)为49031，说明2号包和5号包是两台不同的设备发出来的。这意味着在Web服务器和客户端之间存在一台设备在代理三次握手，而一般代理三次握手的设备是应答Syn flood攻击的防火墙。

2.3 解决步骤¶

1、通过2号包的0010-f327-6186找到了防火墙，修改防火墙配置，解决问题。