Re: keepaliveNextRequest: abandoning FD from Guy Helmer on 2012-05-01 (squid-dev)

From: Guy Helmer <ghelmer_at_palisadesys.com>
Date: Tue, 1 May 2012 14:11:26 -0500

On May 1, 2012, at 8:43 AM, Henrik Nordström wrote:

> tis 2012-05-01 klockan 08:09 -0500 skrev Guy Helmer:
>> I'm working with code I obtained from Alex that was sync'ed with trunk as of -r12082 (2012-03-07 v3.2.0.16+) and on a very busy system doing forward HTTP and HTTPS proxy (but not sslBump), I am seeing lots of these messages:
>>
>> 2012/05/01 08:50:06 kid1| client_side.cc(1611) keepaliveNextRequest: abandoning local=10.10.0.4:3128 remote=10.10.0.115:1409 FD 1113 flags=1
>> 2012/05/01 08:50:28 kid1| client_side.cc(1611) keepaliveNextRequest: abandoning local=10.10.0.4:3128 remote=10.10.0.125:1356 FD 1024 flags=1
>> 2012/05/01 08:50:28 kid1| client_side.cc(1611) keepaliveNextRequest: abandoning local=10.10.0.4:3128 remote=10.10.0.125:1357 FD 1220 flags=1
>> 2012/05/01 08:50:31 kid1| client_side.cc(1611) keepaliveNextRequest: abandoning local=10.10.0.4:3128 remote=10.10.0.125:1359 FD 1152 flags=1
>>
>> I see that there was a discussion back in November about this issue, but I am not understanding what the root cause is, and whether it is indicative of a serious problem. Any thoughts?
>
> It would be excellent if you could pair one or two such message with the
> network traffic taking place on the client connection (the client is
> remote ip:port in the message).
>
> Regards
> Henrik

I was able to correlate two such connections; it turns out they both involve an ICAP request modification in response to a CONNECT method:

2012/05/01 11:32:41 kid1| client_side.cc(1611) keepaliveNextRequest: abandoning local=10.10.0.4:3128 remote=10.30.0.196:1829 FD 2533 flags=1
2012/05/01 11:32:41 kid1| client_side.cc(1611) keepaliveNextRequest: abandoning local=10.10.0.4:3128 remote=10.30.0.196:1833 FD 3009 flags=1

1 0.000000 10.30.0.196 -> 10.10.0.4 TCP optika-emedia > ndl-aas [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 30 32 48 40 00 7f 06 b4 90 0a 1e 00 c4 0a 0a .02H@...........
0020 00 04 07 25 0c 38 d9 84 93 09 00 00 00 00 70 02 ...%.8........p.
0030 ff ff ee 44 00 00 02 04 05 b4 01 01 04 02 ...D..........

2 0.000000 10.10.0.4 -> 10.30.0.196 TCP ndl-aas > optika-emedia [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 SACK_PERM=1

0000 00 0d 65 58 1b 3f 00 30 48 cd e0 04 08 00 45 00 ..eX.?.0H.....E.
0010 00 30 07 f3 40 00 40 06 1d e6 0a 0a 00 04 0a 1e .0..@.@.........
0020 00 c4 0c 38 07 25 c1 fa 75 60 d9 84 93 0a 70 12 ...8.%..u`....p.
0030 ff ff b7 d9 00 00 02 04 05 b4 04 02 00 00 ..............

3 0.000000 10.30.0.196 -> 10.10.0.4 TCP optika-emedia > ndl-aas [ACK] Seq=1 Ack=1 Win=65535 Len=0

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 28 32 49 40 00 7f 06 b4 97 0a 1e 00 c4 0a 0a .(2I@...........
0020 00 04 07 25 0c 38 d9 84 93 0a c1 fa 75 61 50 10 ...%.8......uaP.
0030 ff ff e3 9c 00 00 00 00 00 00 00 00 ............

4 0.000000 10.30.0.196 -> 10.10.0.4 HTTP CONNECT talk.google.com:443 HTTP/1.0

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 b1 32 4a 40 00 7f 06 b4 0d 0a 1e 00 c4 0a 0a ..2J@...........
0020 00 04 07 25 0c 38 d9 84 93 0a c1 fa 75 61 50 18 ...%.8......uaP.
0030 ff ff e2 4b 00 00 43 4f 4e 4e 45 43 54 20 74 61 ...K..CONNECT ta
0040 6c 6b 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 3a 34 34 lk.google.com:44
0050 33 20 48 54 54 50 2f 31 2e 30 0d 0a 55 73 65 72 3 HTTP/1.0..User
0060 2d 41 67 65 6e 74 3a 20 47 6f 6f 67 6c 65 20 54 -Agent: Google T
0070 61 6c 6b 0d 0a 48 6f 73 74 3a 20 74 61 6c 6b 2e alk..Host: talk.
0080 67 6f 6f 67 6c 65 2e 63 6f 6d 0d 0a 43 6f 6e 74 google.com..Cont
0090 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 30 0d 0a 50 ent-Length: 0..P
00a0 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a roxy-Connection:
00b0 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 0d 0a Keep-Alive....

5 0.004001 10.10.0.4 -> 10.30.0.196 TCP [TCP segment of a reassembled PDU]

0000 00 0d 65 58 1b 3f 00 30 48 cd e0 04 08 00 45 00 ..eX.?.0H.....E.
0010 01 f9 08 01 40 00 40 06 1c 0f 0a 0a 00 04 0a 1e ....@.@.........
0020 00 c4 0c 38 07 25 c1 fa 75 61 d9 84 93 93 50 18 ...8.%..ua....P.
0030 ff ff a8 b4 00 00 48 54 54 50 2f 31 2e 31 20 33 ......HTTP/1.1 3
0040 30 32 20 4d 6f 76 65 64 20 54 65 6d 70 6f 72 61 02 Moved Tempora
0050 72 69 6c 79 0d 0a 4c 6f 63 61 74 69 6f 6e 3a 20 rily..Location:
0060 68 74 74 70 3a 2f 2f 31 30 2e 31 30 2e 30 2e 32 http://10.10.0.2
0070 30 2f 62 6c 6f 63 6b 65 64 2e 68 74 6d 6c 3f 74 0/blocked.html?t
0080 79 70 65 3d 55 52 4c 26 64 65 73 63 3d 43 61 74 ype=URL&desc=Cat
0090 65 67 6f 72 79 25 33 44 4f 6e 2d 4c 69 6e 65 43 egory%3DOn-LineC
00a0 68 61 74 26 68 6f 73 74 3d 74 61 6c 6b 2e 67 6f hat&host=talk.go
00b0 6f 67 6c 65 2e 63 6f 6d 0d 0a 43 6f 6e 74 65 6e ogle.com..Conten
00c0 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 68 74 6d t-Type: text/htm
00d0 6c 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 l..Content-Lengt
00e0 68 3a 20 32 39 37 0d 0a 53 65 72 76 65 72 3a 20 h: 297..Server:
00f0 50 61 6c 69 73 61 64 65 20 53 79 73 74 65 6d 73 Palisade Systems
0100 20 50 61 63 6b 65 74 53 75 72 65 20 49 43 41 50 PacketSure ICAP
0110 20 53 65 72 76 65 72 20 31 2e 30 0d 0a 44 61 74 Server 1.0..Dat
0120 65 3a 20 54 75 65 2c 20 30 31 20 4d 61 79 20 32 e: Tue, 01 May 2
0130 30 31 32 20 31 35 3a 33 32 3a 34 31 20 47 4d 54 012 15:32:41 GMT
0140 0d 0a 52 65 66 65 72 65 72 3a 20 74 61 6c 6b 2e ..Referer: talk.
0150 67 6f 6f 67 6c 65 2e 63 6f 6d 2f 74 61 6c 6b 2e google.com/talk.
0160 67 6f 6f 67 6c 65 2e 63 6f 6d 3a 34 34 33 0d 0a google.com:443..
0170 58 2d 43 61 63 68 65 3a 20 4d 49 53 53 20 66 72 X-Cache: MISS fr
0180 6f 6d 20 70 61 63 6b 65 74 73 75 72 65 5f 32 2e om packetsure_2.
0190 61 61 61 61 61 61 61 61 61 61 61 61 31 2e 6f 72 aaaaaaaaaaaa1.or
01a0 67 0d 0a 56 69 61 3a 20 31 2e 31 20 70 61 63 6b g..Via: 1.1 pack
01b0 65 74 73 75 72 65 5f 32 2e 61 61 61 61 61 61 61 etsure_2.aaaaaaa
01c0 61 61 61 61 61 31 2e 6f 72 67 20 28 73 71 75 69 aaaaa1.org (squi
01d0 64 2f 33 2e 42 75 6d 70 53 73 6c 53 65 72 76 65 d/3.BumpSslServe
01e0 72 46 69 72 73 74 2d 74 30 37 29 0d 0a 43 6f 6e rFirst-t07)..Con
01f0 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c nection: keep-al
0200 69 76 65 0d 0a 0d 0a ive....

6 0.005000 10.30.0.196 -> 10.10.0.4 TCP optika-emedia > ndl-aas [FIN, ACK] Seq=138 Ack=466 Win=65070 Len=0

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 28 32 4b 40 00 7f 06 b4 95 0a 1e 00 c4 0a 0a .(2K@...........
0020 00 04 07 25 0c 38 d9 84 93 93 c1 fa 77 32 50 11 ...%.8......w2P.
0030 fe 2e e3 12 00 00 00 00 00 00 00 00 ............

7 0.005000 10.10.0.4 -> 10.30.0.196 TCP ndl-aas > optika-emedia [ACK] Seq=466 Ack=139 Win=65535 Len=0

0000 00 0d 65 58 1b 3f 00 30 48 cd e0 04 08 00 45 00 ..eX.?.0H.....E.
0010 00 28 08 02 40 00 40 06 1d df 0a 0a 00 04 0a 1e .(..@.@.........
0020 00 c4 0c 38 07 25 c1 fa 77 32 d9 84 93 94 50 10 ...8.%..w2....P.
0030 ff ff e1 41 00 00 ...A..

8 0.103004 10.10.0.4 -> 10.30.0.196 HTTP HTTP/1.1 302 Moved Temporarily (text/html)

Frame (351 bytes):

0000 00 0d 65 58 1b 3f 00 30 48 cd e0 04 08 00 45 00 ..eX.?.0H.....E.
0010 01 51 08 26 40 00 40 06 1c 92 0a 0a 00 04 0a 1e .Q.&@.@.........
0020 00 c4 0c 38 07 25 c1 fa 77 32 d9 84 93 94 50 18 ...8.%..w2....P.
0030 ff ff 92 b7 00 00 3c 48 45 41 44 3e 3c 54 49 54 ......<HEAD><TIT
0040 4c 45 3e 52 65 64 69 72 65 63 74 65 64 3c 2f 54 LE>Redirected</T
0050 49 54 4c 45 3e 3c 2f 48 45 41 44 3e 0d 0a 3c 42 ITLE></HEAD>..<B
0060 4f 44 59 3e 0d 0a 3c 48 31 3e 52 65 64 69 72 65 ODY>..<H1>Redire
0070 63 74 65 64 3c 2f 48 31 3e 0d 0a 74 61 6c 6b 2e cted</H1>..talk.
0080 67 6f 6f 67 6c 65 2e 63 6f 6d 2f 74 61 6c 6b 2e google.com/talk.
0090 67 6f 6f 67 6c 65 2e 63 6f 6d 3a 34 34 33 20 77 google.com:443 w
00a0 61 73 20 66 6f 75 6e 64 20 69 6e 20 63 61 74 65 as found in cate
00b0 67 6f 72 79 20 4f 6e 2d 4c 69 6e 65 43 68 61 74 gory On-LineChat
00c0 2e 0d 0a 3c 70 3e 59 6f 75 20 68 61 76 65 20 62 ...<p>You have b
00d0 65 65 6e 20 72 65 64 69 72 65 63 74 65 64 20 3c een redirected <
00e0 41 20 48 52 45 46 3d 22 68 74 74 70 3a 2f 2f 31 A HREF="http://1
00f0 30 2e 31 30 2e 30 2e 32 30 2f 62 6c 6f 63 6b 65 0.10.0.20/blocke
0100 64 2e 68 74 6d 6c 3f 74 79 70 65 3d 55 52 4c 26 d.html?type=URL&
0110 64 65 73 63 3d 43 61 74 65 67 6f 72 79 25 33 44 desc=Category%3D
0120 4f 6e 2d 4c 69 6e 65 43 68 61 74 26 68 6f 73 74 On-LineChat&host
0130 3d 74 61 6c 6b 2e 67 6f 6f 67 6c 65 2e 63 6f 6d =talk.google.com
0140 22 3e 68 65 72 65 3c 2f 41 3e 2e 0d 0a 3c 68 6c ">here</A>...<hl
0150 69 6e 65 3e 0d 0a 3c 2f 42 4f 44 59 3e 0d 0a ine>..</BODY>..

Reassembled TCP (762 bytes):

0000 48 54 54 50 2f 31 2e 31 20 33 30 32 20 4d 6f 76 HTTP/1.1 302 Mov
0010 65 64 20 54 65 6d 70 6f 72 61 72 69 6c 79 0d 0a ed Temporarily..
0020 4c 6f 63 61 74 69 6f 6e 3a 20 68 74 74 70 3a 2f Location: http:/
0030 2f 31 30 2e 31 30 2e 30 2e 32 30 2f 62 6c 6f 63 /10.10.0.20/bloc
0040 6b 65 64 2e 68 74 6d 6c 3f 74 79 70 65 3d 55 52 ked.html?type=UR
0050 4c 26 64 65 73 63 3d 43 61 74 65 67 6f 72 79 25 L&desc=Category%
0060 33 44 4f 6e 2d 4c 69 6e 65 43 68 61 74 26 68 6f 3DOn-LineChat&ho
0070 73 74 3d 74 61 6c 6b 2e 67 6f 6f 67 6c 65 2e 63 st=talk.google.c
0080 6f 6d 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 om..Content-Type
0090 3a 20 74 65 78 74 2f 68 74 6d 6c 0d 0a 43 6f 6e : text/html..Con
00a0 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 32 39 37 tent-Length: 297
00b0 0d 0a 53 65 72 76 65 72 3a 20 50 61 6c 69 73 61 ..Server: Palisa
00c0 64 65 20 53 79 73 74 65 6d 73 20 50 61 63 6b 65 de Systems Packe
00d0 74 53 75 72 65 20 49 43 41 50 20 53 65 72 76 65 tSure ICAP Serve
00e0 72 20 31 2e 30 0d 0a 44 61 74 65 3a 20 54 75 65 r 1.0..Date: Tue
00f0 2c 20 30 31 20 4d 61 79 20 32 30 31 32 20 31 35 , 01 May 2012 15
0100 3a 33 32 3a 34 31 20 47 4d 54 0d 0a 52 65 66 65 :32:41 GMT..Refe
0110 72 65 72 3a 20 74 61 6c 6b 2e 67 6f 6f 67 6c 65 rer: talk.google
0120 2e 63 6f 6d 2f 74 61 6c 6b 2e 67 6f 6f 67 6c 65 .com/talk.google
0130 2e 63 6f 6d 3a 34 34 33 0d 0a 58 2d 43 61 63 68 .com:443..X-Cach
0140 65 3a 20 4d 49 53 53 20 66 72 6f 6d 20 70 61 63 e: MISS from pac
0150 6b 65 74 73 75 72 65 5f 32 2e 61 61 61 61 61 61 ketsure_2.aaaaaa
0160 61 61 61 61 61 61 31 2e 6f 72 67 0d 0a 56 69 61 aaaaaa1.org..Via
0170 3a 20 31 2e 31 20 70 61 63 6b 65 74 73 75 72 65 : 1.1 packetsure
0180 5f 32 2e 61 61 61 61 61 61 61 61 61 61 61 61 31 _2.aaaaaaaaaaaa1
0190 2e 6f 72 67 20 28 73 71 75 69 64 2f 33 2e 42 75 .org (squid/3.Bu
01a0 6d 70 53 73 6c 53 65 72 76 65 72 46 69 72 73 74 mpSslServerFirst
01b0 2d 74 30 37 29 0d 0a 43 6f 6e 6e 65 63 74 69 6f -t07)..Connectio
01c0 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a 0d n: keep-alive...
01d0 0a 3c 48 45 41 44 3e 3c 54 49 54 4c 45 3e 52 65 .<HEAD><TITLE>Re
01e0 64 69 72 65 63 74 65 64 3c 2f 54 49 54 4c 45 3e directed</TITLE>
01f0 3c 2f 48 45 41 44 3e 0d 0a 3c 42 4f 44 59 3e 0d </HEAD>..<BODY>.
0200 0a 3c 48 31 3e 52 65 64 69 72 65 63 74 65 64 3c .<H1>Redirected<
0210 2f 48 31 3e 0d 0a 74 61 6c 6b 2e 67 6f 6f 67 6c /H1>..talk.googl
0220 65 2e 63 6f 6d 2f 74 61 6c 6b 2e 67 6f 6f 67 6c e.com/talk.googl
0230 65 2e 63 6f 6d 3a 34 34 33 20 77 61 73 20 66 6f e.com:443 was fo
0240 75 6e 64 20 69 6e 20 63 61 74 65 67 6f 72 79 20 und in category
0250 4f 6e 2d 4c 69 6e 65 43 68 61 74 2e 0d 0a 3c 70 On-LineChat...<p
0260 3e 59 6f 75 20 68 61 76 65 20 62 65 65 6e 20 72 >You have been r
0270 65 64 69 72 65 63 74 65 64 20 3c 41 20 48 52 45 edirected <A HRE
0280 46 3d 22 68 74 74 70 3a 2f 2f 31 30 2e 31 30 2e F="http://10.10.
0290 30 2e 32 30 2f 62 6c 6f 63 6b 65 64 2e 68 74 6d 0.20/blocked.htm
02a0 6c 3f 74 79 70 65 3d 55 52 4c 26 64 65 73 63 3d l?type=URL&desc=
02b0 43 61 74 65 67 6f 72 79 25 33 44 4f 6e 2d 4c 69 Category%3DOn-Li
02c0 6e 65 43 68 61 74 26 68 6f 73 74 3d 74 61 6c 6b neChat&host=talk
02d0 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 22 3e 68 65 72 .google.com">her
02e0 65 3c 2f 41 3e 2e 0d 0a 3c 68 6c 69 6e 65 3e 0d e</A>...<hline>.
02f0 0a 3c 2f 42 4f 44 59 3e 0d 0a .</BODY>..

9 0.104004 10.30.0.196 -> 10.10.0.4 TCP optika-emedia > ndl-aas [RST, ACK] Seq=139 Ack=763 Win=0 Len=0

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 28 32 57 40 00 7f 06 b4 89 0a 1e 00 c4 0a 0a .(2W@...........
0020 00 04 07 25 0c 38 d9 84 93 94 c1 fa 78 5b 50 14 ...%.8......x[P.
0030 00 00 e0 14 00 00 00 00 00 00 00 00 ............

1 0.000000 10.30.0.196 -> 10.10.0.4 TCP udpradio > ndl-aas [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 30 32 59 40 00 7f 06 b4 7f 0a 1e 00 c4 0a 0a .02Y@...........
0020 00 04 07 29 0c 38 b0 88 52 71 00 00 00 00 70 02 ...).8..Rq....p.
0030 ff ff 57 d5 00 00 02 04 05 b4 01 01 04 02 ..W...........

2 0.000000 10.10.0.4 -> 10.30.0.196 TCP ndl-aas > udpradio [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 SACK_PERM=1

0000 00 0d 65 58 1b 3f 00 30 48 cd e0 04 08 00 45 00 ..eX.?.0H.....E.
0010 00 30 08 2d 40 00 40 06 1d ac 0a 0a 00 04 0a 1e .0.-@.@.........
0020 00 c4 0c 38 07 29 0c 3c d4 e2 b0 88 52 72 70 12 ...8.).<....Rrp.
0030 ff ff 77 a6 00 00 02 04 05 b4 04 02 00 00 ..w...........

3 0.001000 10.30.0.196 -> 10.10.0.4 TCP udpradio > ndl-aas [ACK] Seq=1 Ack=1 Win=65535 Len=0

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 28 32 5a 40 00 7f 06 b4 86 0a 1e 00 c4 0a 0a .(2Z@...........
0020 00 04 07 29 0c 38 b0 88 52 72 0c 3c d4 e3 50 10 ...).8..Rr.<..P.
0030 ff ff a3 69 00 00 00 00 00 00 00 00 ...i........

4 0.001000 10.30.0.196 -> 10.10.0.4 HTTP CONNECT talkx.l.google.com:443 HTTP/1.0

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 b7 32 5b 40 00 7f 06 b3 f6 0a 1e 00 c4 0a 0a ..2[@...........
0020 00 04 07 29 0c 38 b0 88 52 72 0c 3c d4 e3 50 18 ...).8..Rr.<..P.
0030 ff ff e4 a9 00 00 43 4f 4e 4e 45 43 54 20 74 61 ......CONNECT ta
0040 6c 6b 78 2e 6c 2e 67 6f 6f 67 6c 65 2e 63 6f 6d lkx.l.google.com
0050 3a 34 34 33 20 48 54 54 50 2f 31 2e 30 0d 0a 55 :443 HTTP/1.0..U
0060 73 65 72 2d 41 67 65 6e 74 3a 20 47 6f 6f 67 6c ser-Agent: Googl
0070 65 20 54 61 6c 6b 0d 0a 48 6f 73 74 3a 20 74 61 e Talk..Host: ta
0080 6c 6b 78 2e 6c 2e 67 6f 6f 67 6c 65 2e 63 6f 6d lkx.l.google.com
0090 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 ..Content-Length
00a0 3a 20 30 0d 0a 50 72 6f 78 79 2d 43 6f 6e 6e 65 : 0..Proxy-Conne
00b0 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 ction: Keep-Aliv
00c0 65 0d 0a 0d 0a e....

5 0.004002 10.10.0.4 -> 10.30.0.196 TCP [TCP segment of a reassembled PDU]

0000 00 0d 65 58 1b 3f 00 30 48 cd e0 04 08 00 45 00 ..eX.?.0H.....E.
0010 02 02 08 35 40 00 40 06 1b d2 0a 0a 00 04 0a 1e ...5@.@.........
0020 00 c4 0c 38 07 29 0c 3c d4 e3 b0 88 53 01 50 18 ...8.).<....S.P.
0030 ff ff b2 f7 00 00 48 54 54 50 2f 31 2e 31 20 33 ......HTTP/1.1 3
0040 30 32 20 4d 6f 76 65 64 20 54 65 6d 70 6f 72 61 02 Moved Tempora
0050 72 69 6c 79 0d 0a 4c 6f 63 61 74 69 6f 6e 3a 20 rily..Location:
0060 68 74 74 70 3a 2f 2f 31 30 2e 31 30 2e 30 2e 32 http://10.10.0.2
0070 30 2f 62 6c 6f 63 6b 65 64 2e 68 74 6d 6c 3f 74 0/blocked.html?t
0080 79 70 65 3d 55 52 4c 26 64 65 73 63 3d 43 61 74 ype=URL&desc=Cat
0090 65 67 6f 72 79 25 33 44 4f 6e 2d 4c 69 6e 65 43 egory%3DOn-LineC
00a0 68 61 74 26 68 6f 73 74 3d 74 61 6c 6b 78 2e 6c hat&host=talkx.l
00b0 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 0d 0a 43 6f 6e .google.com..Con
00c0 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f tent-Type: text/
00d0 68 74 6d 6c 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 html..Content-Le
00e0 6e 67 74 68 3a 20 33 30 36 0d 0a 53 65 72 76 65 ngth: 306..Serve
00f0 72 3a 20 50 61 6c 69 73 61 64 65 20 53 79 73 74 r: Palisade Syst
0100 65 6d 73 20 50 61 63 6b 65 74 53 75 72 65 20 49 ems PacketSure I
0110 43 41 50 20 53 65 72 76 65 72 20 31 2e 30 0d 0a CAP Server 1.0..
0120 44 61 74 65 3a 20 54 75 65 2c 20 30 31 20 4d 61 Date: Tue, 01 Ma
0130 79 20 32 30 31 32 20 31 35 3a 33 32 3a 34 31 20 y 2012 15:32:41
0140 47 4d 54 0d 0a 52 65 66 65 72 65 72 3a 20 74 61 GMT..Referer: ta
0150 6c 6b 78 2e 6c 2e 67 6f 6f 67 6c 65 2e 63 6f 6d lkx.l.google.com
0160 2f 74 61 6c 6b 78 2e 6c 2e 67 6f 6f 67 6c 65 2e /talkx.l.google.
0170 63 6f 6d 3a 34 34 33 0d 0a 58 2d 43 61 63 68 65 com:443..X-Cache
0180 3a 20 4d 49 53 53 20 66 72 6f 6d 20 70 61 63 6b : MISS from pack
0190 65 74 73 75 72 65 5f 32 2e 61 61 61 61 61 61 61 etsure_2.aaaaaaa
01a0 61 61 61 61 61 31 2e 6f 72 67 0d 0a 56 69 61 3a aaaaa1.org..Via:
01b0 20 31 2e 31 20 70 61 63 6b 65 74 73 75 72 65 5f 1.1 packetsure_
01c0 32 2e 61 61 61 61 61 61 61 61 61 61 61 61 31 2e 2.aaaaaaaaaaaa1.
01d0 6f 72 67 20 28 73 71 75 69 64 2f 33 2e 42 75 6d org (squid/3.Bum
01e0 70 53 73 6c 53 65 72 76 65 72 46 69 72 73 74 2d pSslServerFirst-
01f0 74 30 37 29 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e t07)..Connection
0200 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a 0d 0a : keep-alive....

6 0.005000 10.30.0.196 -> 10.10.0.4 TCP udpradio > ndl-aas [FIN, ACK] Seq=144 Ack=475 Win=65061 Len=0

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 28 32 5c 40 00 7f 06 b4 84 0a 1e 00 c4 0a 0a .(2\@...........
0020 00 04 07 29 0c 38 b0 88 53 01 0c 3c d6 bd 50 11 ...).8..S..<..P.
0030 fe 25 a2 d9 00 00 00 00 00 00 00 00 .%..........

7 0.005000 10.10.0.4 -> 10.30.0.196 TCP ndl-aas > udpradio [ACK] Seq=475 Ack=145 Win=65535 Len=0

0000 00 0d 65 58 1b 3f 00 30 48 cd e0 04 08 00 45 00 ..eX.?.0H.....E.
0010 00 28 08 37 40 00 40 06 1d aa 0a 0a 00 04 0a 1e .(.7@.@.........
0020 00 c4 0c 38 07 29 0c 3c d6 bd b0 88 53 02 50 10 ...8.).<....S.P.
0030 ff ff a0 ff 00 00 ......

8 0.103003 10.10.0.4 -> 10.30.0.196 HTTP HTTP/1.1 302 Moved Temporarily (text/html)

Frame (360 bytes):

0000 00 0d 65 58 1b 3f 00 30 48 cd e0 04 08 00 45 00 ..eX.?.0H.....E.
0010 01 5a 08 57 40 00 40 06 1c 58 0a 0a 00 04 0a 1e .Z.W@.@..X......
0020 00 c4 0c 38 07 29 0c 3c d6 bd b0 88 53 02 50 18 ...8.).<....S.P.
0030 ff ff b1 d3 00 00 3c 48 45 41 44 3e 3c 54 49 54 ......<HEAD><TIT
0040 4c 45 3e 52 65 64 69 72 65 63 74 65 64 3c 2f 54 LE>Redirected</T
0050 49 54 4c 45 3e 3c 2f 48 45 41 44 3e 0d 0a 3c 42 ITLE></HEAD>..<B
0060 4f 44 59 3e 0d 0a 3c 48 31 3e 52 65 64 69 72 65 ODY>..<H1>Redire
0070 63 74 65 64 3c 2f 48 31 3e 0d 0a 74 61 6c 6b 78 cted</H1>..talkx
0080 2e 6c 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 2f 74 61 .l.google.com/ta
0090 6c 6b 78 2e 6c 2e 67 6f 6f 67 6c 65 2e 63 6f 6d lkx.l.google.com
00a0 3a 34 34 33 20 77 61 73 20 66 6f 75 6e 64 20 69 :443 was found i
00b0 6e 20 63 61 74 65 67 6f 72 79 20 4f 6e 2d 4c 69 n category On-Li
00c0 6e 65 43 68 61 74 2e 0d 0a 3c 70 3e 59 6f 75 20 neChat...<p>You
00d0 68 61 76 65 20 62 65 65 6e 20 72 65 64 69 72 65 have been redire
00e0 63 74 65 64 20 3c 41 20 48 52 45 46 3d 22 68 74 cted <A HREF="ht
00f0 74 70 3a 2f 2f 31 30 2e 31 30 2e 30 2e 32 30 2f tp://10.10.0.20/
0100 62 6c 6f 63 6b 65 64 2e 68 74 6d 6c 3f 74 79 70 blocked.html?typ
0110 65 3d 55 52 4c 26 64 65 73 63 3d 43 61 74 65 67 e=URL&desc=Categ
0120 6f 72 79 25 33 44 4f 6e 2d 4c 69 6e 65 43 68 61 ory%3DOn-LineCha
0130 74 26 68 6f 73 74 3d 74 61 6c 6b 78 2e 6c 2e 67 t&host=talkx.l.g
0140 6f 6f 67 6c 65 2e 63 6f 6d 22 3e 68 65 72 65 3c oogle.com">here<
0150 2f 41 3e 2e 0d 0a 3c 68 6c 69 6e 65 3e 0d 0a 3c /A>...<hline>..<
0160 2f 42 4f 44 59 3e 0d 0a /BODY>..

Reassembled TCP (780 bytes):

0000 48 54 54 50 2f 31 2e 31 20 33 30 32 20 4d 6f 76 HTTP/1.1 302 Mov
0010 65 64 20 54 65 6d 70 6f 72 61 72 69 6c 79 0d 0a ed Temporarily..
0020 4c 6f 63 61 74 69 6f 6e 3a 20 68 74 74 70 3a 2f Location: http:/
0030 2f 31 30 2e 31 30 2e 30 2e 32 30 2f 62 6c 6f 63 /10.10.0.20/bloc
0040 6b 65 64 2e 68 74 6d 6c 3f 74 79 70 65 3d 55 52 ked.html?type=UR
0050 4c 26 64 65 73 63 3d 43 61 74 65 67 6f 72 79 25 L&desc=Category%
0060 33 44 4f 6e 2d 4c 69 6e 65 43 68 61 74 26 68 6f 3DOn-LineChat&ho
0070 73 74 3d 74 61 6c 6b 78 2e 6c 2e 67 6f 6f 67 6c st=talkx.l.googl
0080 65 2e 63 6f 6d 0d 0a 43 6f 6e 74 65 6e 74 2d 54 e.com..Content-T
0090 79 70 65 3a 20 74 65 78 74 2f 68 74 6d 6c 0d 0a ype: text/html..
00a0 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 Content-Length:
00b0 33 30 36 0d 0a 53 65 72 76 65 72 3a 20 50 61 6c 306..Server: Pal
00c0 69 73 61 64 65 20 53 79 73 74 65 6d 73 20 50 61 isade Systems Pa
00d0 63 6b 65 74 53 75 72 65 20 49 43 41 50 20 53 65 cketSure ICAP Se
00e0 72 76 65 72 20 31 2e 30 0d 0a 44 61 74 65 3a 20 rver 1.0..Date:
00f0 54 75 65 2c 20 30 31 20 4d 61 79 20 32 30 31 32 Tue, 01 May 2012
0100 20 31 35 3a 33 32 3a 34 31 20 47 4d 54 0d 0a 52 15:32:41 GMT..R
0110 65 66 65 72 65 72 3a 20 74 61 6c 6b 78 2e 6c 2e eferer: talkx.l.
0120 67 6f 6f 67 6c 65 2e 63 6f 6d 2f 74 61 6c 6b 78 google.com/talkx
0130 2e 6c 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 3a 34 34 .l.google.com:44
0140 33 0d 0a 58 2d 43 61 63 68 65 3a 20 4d 49 53 53 3..X-Cache: MISS
0150 20 66 72 6f 6d 20 70 61 63 6b 65 74 73 75 72 65 from packetsure
0160 5f 32 2e 61 61 61 61 61 61 61 61 61 61 61 61 31 _2.aaaaaaaaaaaa1
0170 2e 6f 72 67 0d 0a 56 69 61 3a 20 31 2e 31 20 70 .org..Via: 1.1 p
0180 61 63 6b 65 74 73 75 72 65 5f 32 2e 61 61 61 61 acketsure_2.aaaa
0190 61 61 61 61 61 61 61 61 31 2e 6f 72 67 20 28 73 aaaaaaaa1.org (s
01a0 71 75 69 64 2f 33 2e 42 75 6d 70 53 73 6c 53 65 quid/3.BumpSslSe
01b0 72 76 65 72 46 69 72 73 74 2d 74 30 37 29 0d 0a rverFirst-t07)..
01c0 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 Connection: keep
01d0 2d 61 6c 69 76 65 0d 0a 0d 0a 3c 48 45 41 44 3e -alive....<HEAD>
01e0 3c 54 49 54 4c 45 3e 52 65 64 69 72 65 63 74 65 <TITLE>Redirecte
01f0 64 3c 2f 54 49 54 4c 45 3e 3c 2f 48 45 41 44 3e d</TITLE></HEAD>
0200 0d 0a 3c 42 4f 44 59 3e 0d 0a 3c 48 31 3e 52 65 ..<BODY>..<H1>Re
0210 64 69 72 65 63 74 65 64 3c 2f 48 31 3e 0d 0a 74 directed</H1>..t
0220 61 6c 6b 78 2e 6c 2e 67 6f 6f 67 6c 65 2e 63 6f alkx.l.google.co
0230 6d 2f 74 61 6c 6b 78 2e 6c 2e 67 6f 6f 67 6c 65 m/talkx.l.google
0240 2e 63 6f 6d 3a 34 34 33 20 77 61 73 20 66 6f 75 .com:443 was fou
0250 6e 64 20 69 6e 20 63 61 74 65 67 6f 72 79 20 4f nd in category O
0260 6e 2d 4c 69 6e 65 43 68 61 74 2e 0d 0a 3c 70 3e n-LineChat...<p>
0270 59 6f 75 20 68 61 76 65 20 62 65 65 6e 20 72 65 You have been re
0280 64 69 72 65 63 74 65 64 20 3c 41 20 48 52 45 46 directed <A HREF
0290 3d 22 68 74 74 70 3a 2f 2f 31 30 2e 31 30 2e 30 ="http://10.10.0
02a0 2e 32 30 2f 62 6c 6f 63 6b 65 64 2e 68 74 6d 6c .20/blocked.html
02b0 3f 74 79 70 65 3d 55 52 4c 26 64 65 73 63 3d 43 ?type=URL&desc=C
02c0 61 74 65 67 6f 72 79 25 33 44 4f 6e 2d 4c 69 6e ategory%3DOn-Lin
02d0 65 43 68 61 74 26 68 6f 73 74 3d 74 61 6c 6b 78 eChat&host=talkx
02e0 2e 6c 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 22 3e 68 .l.google.com">h
02f0 65 72 65 3c 2f 41 3e 2e 0d 0a 3c 68 6c 69 6e 65 ere</A>...<hline
0300 3e 0d 0a 3c 2f 42 4f 44 59 3e 0d 0a >..</BODY>..

9 0.104003 10.30.0.196 -> 10.10.0.4 TCP udpradio > ndl-aas [RST, ACK] Seq=145 Ack=781 Win=0 Len=0

0000 00 30 48 cd e0 04 00 0d 65 58 1b 3f 08 00 45 00 .0H.....eX.?..E.
0010 00 28 32 63 40 00 7f 06 b4 7d 0a 1e 00 c4 0a 0a .(2c@....}......
0020 00 04 07 29 0c 38 b0 88 53 02 0c 3c d7 ef 50 14 ...).8..S..<..P.
0030 00 00 9f c9 00 00 00 00 00 00 00 00 ............

Guy

--------
This message has been scanned by ComplianceSafe, powered by Palisade's PacketSure.
Received on Tue May 01 2012 - 19:11:46 MDT

This archive was generated by hypermail 2.2.0 : Wed May 02 2012 - 12:00:11 MDT