本帖最后由 阿仙儿 于 2020-9-17 10:37 编辑
【问题描述】 客户内网终端访问某个政府网站打不开,切换其他网络就可以。具体报错截图如下:
【问题处理过程】 根据上述报错截图,基本判断是被访问的目标网站拒绝了,不过客户还是要求证明AF是否有拦截,那么抓包验证下。 ①首先已经确定,该终端访问目标网址解析出来的是42.81.56.98的地址,另外终端PC地址是192.168.136.163。AF网关部署在网络出口,其中ETH1是内网口,ETH2是外网口,为了抓包全面一点,可以针对目标IP和终端IP一起抓包,在过滤表达式那里写host or host的格式,如下图:
②终端PC同时使用wireshark一起抓包,都准备好后,打开浏览器访问目标网址,多操作几次,然后结束,将抓下来的三份数据包都下载到本地文件夹。
③首先打开PC端抓取的包,很快能够浏览到一个HTTP类型信息为403 Forbidden的数据包,该数据包对应PC端访问页面的报错。右击该数据包,选择【追踪流】——【TCP流】对其过滤,然后会出现该数据包的一个流,如下图:
过滤后的数据包,有很清晰的三次握手的过程,下边第965个包是PC向目标网址请求页面,第966个包是目标服务器的回应,告诉PC它收到他的请求了,然后第969个包是目标服务器反馈给PC所请求的页面,但是因为被禁止访问,所以返回的是403。
④在上步筛选出的数据包中,找到403这个数据包,点开下边的【IPv4】——【Identification】进行右击,选择【作为过滤器应用】——【选中】,界面的筛选框会出现该数据包的ip.id值,如下图:
⑤我们复制一下上述的ip.id值参数,打开在AF的wan口和lan口抓的数据包,将其粘贴到筛选框进行过滤,会出现该对应的数据包,如下图:,我们可以看到该数据包和PC上的数据包内容是一样的。
【问题结论】 三份数据包对比可以看出,AF的wan口收到的数据包就是对端反馈的403,说明AF是没有拦截的。
PS:我们使用ip.id来判断查找同一个数据包,为了更直观,我们可以将该参数直接显示在主界面,右击【IPv4】——【Identification】,选择【应用列】即可。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-9-17 14:53
发表于 2020-9-17 16:09
技术员2级 
