根据抓包判断RST包来源（AC&AF）

非常好的实践教程，谢谢分享

一、背景

客户突然告知网站http://hrss.jl.gov.cn无法访问，但是使用热点正常访问，初步怀疑设备有拦截。

二、详细排错步骤

1. 首先判断内网与网站之间是否可达，解析是否正常

发现可以解析，但是无法Ping通，估计IP不允许ping

这个时候我们尝试使用tcping进行端口检测

端口检测正常，证明网络层面是无问题的，这个时候可以考虑控制侧面了。

2. 首先需要定位具体的故障位置，先将客户无法访问的网站再上加入全局排除地址

发现依然无法访问。

如果这个层面，可以再出口针对无法访问地址进行抓包，查看公网是否有回包。

3. 抓包查看

数据包查看

发现大量的reset包，而且reset发出的源还是本端设备，意味着原因一定再本地，而非对端重置

这个时候可以看看“Identification”

使用wireshark，讲此作为列

此时我们查看出现的新列Identification，发现所有的reset的Identification均为0x5826 (22566)

给出一份值给大家参考

AF(751之前)：0x5526

AF(751之后)：0x7050

AC(所有版本)：0x5826

此处我们的值是0x5826，直接排查上网行为管理即可，接下来估计大家都能排查，就不说明了。

三、总结

其实此类问题，一般大家都会使用故障排除或者全局排除进行速度解决问题，此文档只是提供一个新的思路给大家进行判断

PS：

标识（identification）：占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报片的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。