【2022争霸赛*干货满满】一次AD一直向节点池中服务器发TCP包的问题排查

需求：

客户反馈web服务器上一直收到源IP是AD的TCP包，需要协助排查原因

环境：

AD----交换机----WEB服务器

问题：

服务器上抓包显示AD的一个网口IP一直在和服务器简历TCP连接访问80端口。但是AD上已经禁用了该节点，想知道是谁在通过AD访问服务器。

处理过程：

1、      排查AD上的节点、节点池、节点监视器，确认存在针对10.194.200.146的节点监视器。但是该节点已经禁用。

2、      向BBS人工客服确认，节点在禁用之后并不会继续发送监视器包。

3、      在服务器上进行抓包，使用ip.ttl == 63条件对AD自身发的包进行筛选，发现目前AD的LAN口IP仍然在向节点发送tcp包进行握手。遂再次向400工程师确认：即使节点被禁用了，仍然会向节点发送监视器的包。

4、      进入AD后台确认 实时sesion信息，证明确实是AD一直在向web服务器发送监视器报文。

根因：

1、      不需追溯

规避方案：

1、      节点池中节点即使被禁用了，监视器也会向节点发包。属于正常情况，告知客户即可。

图文结合，步骤清晰，有助于工作。