记一次https访问异常分析过程.docxVIP

记一次https访问异常分析过程 故障环境 服务器部署在客户机房，通过端口映射443、22端口进行日常管理和维护。 故障现像 443端口不访问，浏览器提示无法显示此页面。 22端口可以正常访问，SSH能正常操作。 客户端访问其它IP的HTTPS服务均是正常情况。 故障分析 让客户协助检测路由映射，一切正常，删掉重新配置映射，问题依旧； SSH登录服务器，检查证书、配置，重启服务，问题依旧； 既然常规的方法不能解决问题，那我们就抓包来分析一下看看，首先分析客户端的访问情况： 发现客户端与服务器的三次握手成功建立后，客户端开始发送交易数据，但服务器端随后发送RST数据包，数据包显示是服务端发送RST包关闭连接。。 看来问题出在服务器端，ssh登录服务器，通过tcpdump进行数据采集： 可以看到，在服务器（201为服务器的实际IP地址）上采集数据看到的结果与客户端的结果反全相反，数据包显示是客户端发送RST包关闭连接。 为什么会这样呢？对，设备阻断或劫持，可能是中间有设备在搞鬼，马上切换到数据包视图，查看ttl值的变化情况： 清晰的看到，https会话最后一个数据包的TTL值为251，与前面的值不相同，再来看ssh时服务端返回的TTL值： 问题原因找到，应该是客户网络里的某个设备对https设置了相关的策略所致。 电话联系客户，详细沟通情况，半小早后客户反馈，原来是他们另一同事在测试的一款安全设备上设置了策略，将策略去除后，服务器https访问恢复正常。