用科来网络通讯分析系统定位TCP被复位故障

学习雷锋

故障现象　　局域网中划分了VLAN，在每个子网中发现一些客户端无法浏览网页。在使用ping、nslookup、tracert等网络诊断工具分析，发现网络都属正常，排除TCP/IP协议故障问题。到底是怎么原因导致的呢?
　　工具准备
　　科来网络通讯分析系统6.9
　　安装完毕科来网络通讯分析系统后，直接进入“工程”界面。首先，在浏览器中打开科来官方网站(www.colasoft.com.cn)，在过滤器中做一下数据的过滤设置，过滤的作用是为了使抓到的数据包更加符合自己想要看到的数据包，并排除其他机器和连接所产生的干扰数据包。下图是根据IP地址来过滤。我们先做“过滤”，抓一下链接该网站的数据包来做分析。
　　
　　
　　设置好过滤器后，我们就可以开始进行抓包。
　　
　　根据以下抓取到的数据包信息可以看到，从客户端发出请求到服务器回应的数据包都一览无遗。
　　
　　根据数据包信息显示，说明测试的主机已经收到服务器回应了。但是为什么无法在浏览器中看到有显示呢?
　　再去看一看服务器回应的数据包详细信息：
　　
　　根据连续的几个回应数据包发现TCP连接均被重置了。
　　
　　以上是通过详细的分析数据包的方式得到的一个分析过程，其实在capsa中，提供了一个“诊断”视图，可以看到一个网络的诊断情况。
　　点击“诊断”视图，如下图所示，很直观的看到有TCP重置的诊断信息，并没有看到有ARP的攻击或是其他的攻击
　　TCP重置到底是什么原因呢?
　　首先，排除电信、联通对共享上网的路由账户的限制因素，其次，路由器和交换机完全正常。
　　最后，发现是由于突然停电造成公司机器重启后，某种控制类的软件造成的。重新设置该控制软件后，问题解决。

tlbaobao

斑竹 你是来忽悠俺的吧  这句话好像是毛主席说的吧

sire

学习，是什么控制类的软件造成的？

twoeyes

能带上工程包就好了。

ftmm

晕，写了那么多，全部是忽悠，不知道怎么回事

littlebandit

主要是分析采集的数据包有大量的reset包，正常的服务器回应是不应该有这个现象的，无缘无故的，凭啥频繁的把发回来的包reset掉，这个就是关键。出现这种问题的具体表现为：域名解析正常，ip能够ping通，但是网站就是无法打开。这个时候就可以尝试这个分析思路。
另外，据我观察，如果访问www.google.com这个站点的时候，也会有这个现象的，具体原因估计得问问人家电信了，貌似不想让我们使用google。但是www.google.com.cn完全没有问题。非常搞笑的。电信把一些站点屏蔽掉，估计也是借住的第三方软件系统搞这种飞机的

[ 本帖最后由 littlebandit 于 2009-6-9 13:56 编辑 ]