1、前面排查后还没有发现问题,则同时在aTrust用户端电脑使用wireshark抓包、aTrust设备上抓包
在电脑上使用wireshark-【捕获】-【选项】选中本地网卡,设置条件 host x.x.x.x x.x.x.x是aTrust的公网IP
1.2 同时在aTrust控制中心/综合网关的webconsole抓包,webconsole抓包命令如下:
如果需要保存下来查看,tcpdump -i eth0 host x.x.x.x and port 4431 -nn -s0 -w dd.cap (后面接 -s0 -w 文件名),抓到包后ctrl +c停止抓包;(x.x.x.x 为客户端公网的IP地址 可以通过百度搜索框输入IP地址确认自己出去上网的公网IP地址;4431端口是用户接入端口,根据实际情况调整)
具体抓包命令也可以自行调整,抓取到用户连接aTrust过程的数据包保存即可
抓包生成的文件在webconsole页面栏的文件管理下载
![]()
1.3 用户访问一次抓包 对比客户端和设备上抓取的包分析aTrust设备是否有收到请求包或者拦截用户端和aTrust设备的交互包
2、数据包分析
2.1 查看比对客户端抓取的包跟设备上下载的数据包是否只有单向的请求包,如果出现客户端有请求包,而aTrust设备上抓不到包(前提条件是抓包条件正确)说明中间网络有拦截需要排查中间网络
2.2 UDP SPA包分析
如果数据包有来回交互,怀疑是客户端没有发送UDP SPA敲门包,请过滤dtls以及目标ip 过滤条件 dtls and ip.addr==x.x.x.x 然后查看client hello 包
![]()
随便找一个Client Hello包展开,查看Extensions字段中是否有一个长度较大的Unknow type字段,也就是UDP SPA包:
![]()
这里根据种子类型(16位老的和12位新的),具体长度和内容有所区别。16位种子的UDP SPA包长度较短,12位种子的UDP SPA包长度较长。
其中黄框是魔数,红框内是版本号和01索引号。如果SPA种子是16位的,红框内是0301;如果SPA种子是12位的,红框内是0401。后续的内容不需要关注,只要有上述部分,则基本确定客户端的UDP SPA功能没有问题。
如果上述步骤全部排查完毕没有发现问题,请跳转到后面获取服务端日志进一步排查
