某公司原本使用某運(yùn)營商的互聯(lián)網(wǎng)業(yè)務(wù)，使用各種應(yīng)用都沒有問題。更換另一運(yùn)營商的互聯(lián)網(wǎng)業(yè)務(wù)后，發(fā)現(xiàn)登錄QQ經(jīng)常多人同時(shí)掉線，各個(gè)樓層、辦公室均出現(xiàn)過這種情況，但瀏覽網(wǎng)頁及其他應(yīng)用均沒有問題。用戶曾經(jīng)直接把PC接到出口防火墻上測試，仍出現(xiàn)此情況，因此懷疑是運(yùn)營商的互聯(lián)網(wǎng)業(yè)務(wù)有故障。

 

用戶的網(wǎng)絡(luò)環(huán)境示意圖如下：

 

用戶租用了50Mbps的裸光纖專線連接互聯(lián)網(wǎng)，在防火墻上實(shí)現(xiàn)NAT轉(zhuǎn)換功能。本案例在筆記本部署科來網(wǎng)絡(luò)分析系統(tǒng)，連接到用戶的辦公網(wǎng)絡(luò)抓包分析掉線的原因。

 

 

·在用戶的防火墻觀察出口流量，雙向流量均不到20Mbps，可以判斷不是流量過大而導(dǎo)致QQ掉線的。

·ping運(yùn)營商的互聯(lián)接口不丟包，ping QQ的服務(wù)器（183.60.48.247），有少量丟包，卻不掉線，說明少量丟包并不會造成QQ掉線。

·在PC端發(fā)現(xiàn)QQ掉線后，大約1秒就自動恢復(fù)連接。而平時(shí)因網(wǎng)絡(luò)丟包或時(shí)延大而導(dǎo)致的掉線，會等若干秒才能連上。用科來網(wǎng)絡(luò)分析系統(tǒng)進(jìn)行分析，發(fā)現(xiàn)掉線是由QQ服務(wù)器Reset TCP連接導(dǎo)致的。這也就能解釋為何掉線后能立即連上。抓包截圖如下：

 

為防止這個(gè)Reset是網(wǎng)絡(luò)中間的安全設(shè)備假冒QQ服務(wù)器發(fā)出的，特查看該Reset包的TTL是否與之前的包一致。查看后發(fā)現(xiàn)，收到的Reset包TTL值均為50，可以判斷不是中間設(shè)備假冒QQ服務(wù)器發(fā)出來的Reset。

 

 

·通過以上數(shù)據(jù)分析，我們可以判斷用戶QQ掉線與運(yùn)營商網(wǎng)絡(luò)無關(guān)，是QQ服務(wù)器由于某種原因主動Reset中斷了用戶的會話。

·針對QQ服務(wù)器發(fā)出Reset的問題，與騰訊取得聯(lián)系，騰訊經(jīng)過檢查Log記錄，確認(rèn)是由于用戶端的IP由114.247.136.33變?yōu)榱?14.247.136.35。可以判斷是用戶的防火墻NAT功能出現(xiàn)了異常，所以導(dǎo)致用戶的公網(wǎng)IP地址在通信過程中發(fā)生變換。