CSNA网络分析专家分析案例——来自陈金绚，门户网站访问失败原因分析

CSNA认证 · 发表于 2010-11-24 09:28:12

CSNA网络分析专家分析案例，来自陈金绚，通过对访问网站的连接分析，发现大量的tcp rst导致连接中断，从而导致网站访问失败，又通过分析tcp时延定位了造成连接中断的目标网络设备，从而定位了问题点。分析思路清晰，值得参考。

其他网络分析专家案例：
网络访问慢原因分析(CSNA网络分析专家分析案例——来自鲍旭东)
http://www.csna.cn/network-analyst-19082-1-1.html
某单位无法发送带附件的邮件分析(CSNA网络分析专家分析案例——来自孟召瑞)
http://www.csna.cn/network-analyst-21590-1-1.html
Web服务器攻击分析(CSNA网络分析专家分析案例——来自徐志刚)
http://www.csna.cn/network-analyst-19076-1-1.html
虚假源地址网络攻击分析案例(CSNA网络分析专家分析案例——来自海万学)
http://www.csna.cn/network-analyst-19700-1-1.html
某集团LIMS服务器访问ERP系统故障分析(CSNA网络分析专家分析案例——来自汪已明)
http://www.csna.cn/network-analyst-20192-1-1.html
由于攻击造成的网络性能下降原因分析（CSNA网络分析专家分析案例——来自吴小蓉）
http://www.csna.cn/network-analyst-22075-1-1.html

相关工具下载
免费可视化ping工具

MAC地址扫描器免费版

网络分析系统免费版

long_323 · 发表于 2010-11-24 09:45:22

太强了，这种问题也只能由网络分析技术来解决了，网管软件真的无力呀。
下面这句very精湛！

中到大鱼 · 发表于 2010-11-24 16:47:05

学习学习啦高手如云

silvermoon41 · 发表于 2010-11-24 16:59:36

好文章，学习了！

linqh · 发表于 2010-11-24 21:39:45

学习学习先

1024 · 发表于 2010-11-25 14:30:34

拜读了楼主的文章，案例本身写的很好。
但是我有疑问，路由器是3层设备，它怎么会发RST包呢，如果换成防火墙或IDS之类的倒是说得通。
再说了，就算它能发，也不应该是对内网服务器发啊,要发也是对外网发啊。我不是很理解，觉得有待商榷。

cjx2010 · 发表于 2010-11-25 16:44:14

本帖最后由 cjx2010 于 2010-11-25 16:50 编辑

这个案例一开始看到RST包，我也觉得问题在防火墙或负载均衡的可能性比较大，但从时延判断确实是自外网路由器，路由器厂家解决问题的时候俺不在现场，听用户说厂家的解释是系统有bug，路由器做了升级后故障也没再重现了；很可能是外网路由器启动了访问控制的原因，某些3G用户是直接分配到公网地址访问web portal系统，某些用户则是做了NAT后访问web portal系统的，当时只有前者受到影响，而做了NAT的用户则一切正常。
个人在帮用户解决问题的时候，经常都只是了解用户大概的业务结构，而缺乏深入研究的机会，这点实在惭愧....
这位仁兄很专业，赞一个！！！

6# 1024

1024 · 发表于 2010-11-25 17:08:23

个人观点：
如果是一个单纯的路由器，不带流控功能的3层设备，它是不能主动发出RST数据包的。就算其有访问控制列表，只会造成数据包的丢弃，只会造成发送方的重传。RST数据包应该是4层以上的设备发出来的。
其实建议楼主看一下TTL，如果是内网设备主动发出RST数据包，其TTL值是唯一的。外网发来的数据包TTL值是变化的。

cjx2010 · 发表于 2010-11-25 18:05:18

本帖最后由 cjx2010 于 2010-11-25 19:40 编辑

查看TTL值确实是个好建议，学习了...
验证了一下，所有RST包的TTL值都是一样的（请教版主如何上传图片）

有些路由器为了防止SYN攻击，是可以通过ACL发送RST的；但这个案例不属于这种情况，三层的设备做了4层的事情，确实很bug....

8# 1024

nsexpert · 发表于 2010-11-25 20:10:20

三层确实不应该做RST这样的事情，可是在路由器中，其不仅仅只能做路由查询转发这个操作，比如ACL。
像Cisco路由器，在启用TCP intercept时，就会在相应情况下发送RST这样的数据包。
另外，查看TTL这个，理论上讲不错，但在实际情况下，即使是外面设备发过来的，一般情况下，他的数据包也不会有太大的路由抖动，出现TTL不同的情况也应该比较少，所以实际操作起来我觉得较难。

以下信息为转载：
-----------------------------------------------------------
TCP intercept可以在两种模式上工作：拦截和监视。
在拦截模式下（intercept mode），路由器拦截所有到达的T C P同步请求，并代表服务器建立与客户机的连接，并代表客户机建立与服务器的连接。如果两个连接都成功地实现，路由器就会将两个连接进行透明的合并。路由器有更为严格的超时限制，以防止其自身的资源被S Y N攻击耗尽。
在监视模式下（watch mode），路由器被动地观察half-open连接的数目。如果超过了所配置的时间，路由器也会关闭连接。ACL则用来定义要进行TCP拦截的源和目的地址。

cjx2010 · 发表于 2010-11-26 12:38:33

当时是通过时延来判断的，没想到TTL这点。

其实，要判断一个网络节点是否有问题，最务实的方法就是该节点的两边都抓包，做个对比。
10# nsexpert

linghuxubo · 发表于 2010-11-27 00:40:18

楼上说的好专业啊，学习ING！

redhat9i · 发表于 2010-12-2 08:38:08

好东西，学习了

pkxpp · 发表于 2010-12-2 12:34:23

现在要用，多谢楼主

wq516 · 发表于 2010-12-2 18:05:18

案例本身写的很好

safeie · 发表于 2010-12-3 22:18:25

好资料，学习了。

liweifeng · 发表于 2010-12-6 12:43:09

能否上传抓到的包？想借鉴下，我这边做了联通的3G web漫游网关的防火墙，发现QQ游戏断线。

luxin198471 · 发表于 2010-12-9 08:55:53

佩服啊这点上还真没那么强大

zverei · 发表于 2010-12-10 08:54:22

学习啦，感谢楼主分享

wgsh · 发表于 2010-12-10 10:29:20

顶帖，这样的帖很有用。不得不顶

aimdw · 发表于 2010-12-11 08:42:37

精辟，真精辟

xing2828 · 发表于 2010-12-14 04:00:02

学习下~

fungfung · 发表于 2010-12-14 10:28:50

案例本身写的很好

novartis · 发表于 2010-12-16 10:03:35

看来网络抓包也是一门博大精深的学问呀！

guozhi0 · 发表于 2010-12-20 22:01:58

像楼主看齐！！！！！！！！！！！！

残缺DE记忆 · 发表于 2010-12-21 09:30:11

学习学习。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

csm330760865 · 发表于 2010-12-21 10:59:24

这个有BUG的路由器很强大。。。

sinco_dvd · 发表于 2010-12-21 12:55:32

thanks

zhenxiyan · 发表于 2010-12-23 08:49:10

学习学习网络分析，谢谢分享

张成 · 发表于 2010-12-23 12:28:39

太经典了，收藏了，慢慢研究

CSNA网络分析专家分析案例——来自陈金绚，门户网站访问失败原因分析

评分

评分

评分

RE: CSNA网络分析专家分析案例——来自陈金绚，门户网站访问失败原因分析

评分

浏览过的版块