案例背景
某公司原本使用某运营商的互联网业务,使用各种应用都没有问题。更换另一运营商的互联网业务后,发现登录QQ经常多人同时掉线,各个楼层、办公室均出现过这种情况,但浏览网页及其他应用均没有问题。用户曾经直接把PC接到出口防火墙上测试,仍出现此情况,因此怀疑是运营商的互联网业务有故障。
用户的网络环境示意图如下:
用户租用了50Mbps的裸光纤专线连接互联网,在防火墙上实现NAT转换功能。本案例在笔记本部署科来网络分析系统,连接到用户的办公网络抓包分析掉线的原因。
案例分析
·在用户的防火墙观察出口流量,双向流量均不到20Mbps,可以判断不是流量过大而导致QQ掉线的。
·ping运营商的互联接口不丢包,ping QQ的服务器(183.60.48.247),有少量丢包,却不掉线,说明少量丢包并不会造成QQ掉线。
·在PC端发现QQ掉线后,大约1秒就自动恢复连接。而平时因网络丢包或时延大而导致的掉线,会等若干秒才能连上。用科来网络分析系统进行分析,发现掉线是由QQ服务器Reset TCP连接导致的。这也就能解释为何掉线后能立即连上。抓包截图如下:
为防止这个Reset是网络中间的安全设备假冒QQ服务器发出的,特查看该Reset包的TTL是否与之前的包一致。查看后发现,收到的Reset包TTL值均为50,可以判断不是中间设备假冒QQ服务器发出来的Reset。
分析结论
·通过以上数据分析,我们可以判断用户QQ掉线与运营商网络无关,是QQ服务器由于某种原因主动Reset中断了用户的会话。
·针对QQ服务器发出Reset的问题,与腾讯取得联系,腾讯经过检查Log记录,确认是由于用户端的IP由114.247.136.33变为了114.247.136.35。可以判断是用户的防火墙NAT功能出现了异常,所以导致用户的公网IP地址在通信过程中发生变换。
