AF抓包分析证明访问某网站未有拦截
  

阿仙儿 1785

{{ttag.title}}
本帖最后由 阿仙儿 于 2020-9-17 10:37 编辑

【问题描述】
       客户内网终端访问某个政府网站打不开,切换其他网络就可以。具体报错截图如下:



【问题处理过程】
       根据上述报错截图,基本判断是被访问的目标网站拒绝了,不过客户还是要求证明AF是否有拦截,那么抓包验证下。
①首先已经确定,该终端访问目标网址解析出来的是42.81.56.98的地址,另外终端PC地址是192.168.136.163。AF网关部署在网络出口,其中ETH1是内网口,ETH2是外网口,为了抓包全面一点,可以针对目标IP和终端IP一起抓包,在过滤表达式那里写host or host的格式,如下图:


终端PC同时使用wireshark一起抓包,都准备好后,打开浏览器访问目标网址,多操作几次,然后结束,将抓下来的三份数据包都下载到本地文件夹。

③首先打开PC端抓取的包,很快能够浏览到一个HTTP类型信息为403 Forbidden的数据包,该数据包对应PC端访问页面的报错。右击该数据包,选择【追踪流】——【TCP流】对其过滤,然后会出现该数据包的一个流,如下图:





       过滤后的数据包,有很清晰的三次握手的过程,下边第965个包是PC向目标网址请求页面,第966个包是目标服务器的回应,告诉PC它收到他的请求了,然后第969个包是目标服务器反馈给PC所请求的页面,但是因为被禁止访问,所以返回的是403。

④在上步筛选出的数据包中,找到403这个数据包,点开下边的【IPv4】——【Identification】进行右击,选择【作为过滤器应用】——【选中】,界面的筛选框会出现该数据包的ip.id值,如下图:





⑤我们复制一下上述的ip.id值参数,打开在AF的wan口和lan口抓的数据包,将其粘贴到筛选框进行过滤,会出现该对应的数据包,如下图:,我们可以看到该数据包和PC上的数据包内容是一样的。



【问题结论】
      三份数据包对比可以看出,AF的wan口收到的数据包就是对端反馈的403,说明AF是没有拦截的。


PS:我们使用ip.id来判断查找同一个数据包,为了更直观,我们可以将该参数直接显示在主界面,右击【IPv4】——【Identification】,选择【应用列】即可。


打赏鼓励作者,期待更多好文!

打赏
2人已打赏

Sangfor_闪电回_朱丽 发表于 2020-9-17 14:53
  
感谢楼主带来的干货分享,已将文章收录并放到社区技术博客中,以便让更多的用户关注和学习!

社区有奖征文活动【原创分享计划】已开启,赶快投稿,领S豆和现金包!具体内容要求和奖励规则请参考:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=120679
新手974754 发表于 2020-9-17 16:09
  
很好,学习了。啦啦啦啦
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
高手请过招
【 社区to talk】
每日一问
产品连连看
干货满满
新版本体验
标准化排查
纪元平台
社区新周刊
GIF动图学习
技术咨询
功能体验
解决方案
社区帮助指南
秒懂零信任
每周精选
信服课堂视频
S豆商城资讯
自助服务平台操作指引
技术盲盒
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人