一件极其奇葩事情, 访问部分国外网站非常不稳定

这一年发现一件奇葩的事情，发现通过Firewall访问国内网站很正常，访问部分国外网站经常很慢或几乎无法访问，线路是电信的好昂贵CN2线路。用笔记本直接接到外网测试，怎么测都是正常，初步以为是Firewall的问题。

接着捣鼓Firewall, 怎么测都没发现根源，一次偶然机会，发现访问国外网站出问题时，www.hp.com的80端口就一定会无法连接，该网站有多个IP，我就选定其中一个IP：72.246.103.25，通过TCPING工具连续重新监控80端口的连接情况，在电信光纤的交换机上抓包分析，发现数据包从交换机接电信光纤的接口成功发出，但没有来自72.246.103.25的任何返回包。 把公司电脑全部断开，只允许我一台电脑访问Internet 时，测试该IP就有返回包的。

找电信支持，前后等了找了无数次，问题还是没能解决，他们也晕了，虽然他们也逐层上报，但也不知问题出在哪里。他们也以为时我Firewall的问题，说是NAT时因内网电脑太多导致NAT的端口不够，需要用多个IP做NAT, 但测试后发现还是一样，我已把十几个外网IP全部用上，把每个外网IP对应的会话数量控制到1500左右（这算极其少了，一个家用路由不只支持这么多）

最后还是我自己动手做最后排查，把到不同目的网络段用不同的外网IP做NAT，如: 到1.0.0.0-127.255.255 NAT用我司外网IP1，128.0.0.0-255.255.255.255 NAT用外网IP2, 把到72.246.103.25的NAT分别用IP1和IP2测试，结果把72.246.103.25的NAT用IP2时，无法访问72.246.103.25，重复测试多次，都一样的结果，问题出在128.0.0-255.255.255.255这一段，接着用同样的访问把128.0.0-255.255.255.255分成两大段进行跟踪测试，如此反复，终于定出209.53.113.xxx这个网段，只要有内网电脑访问209.53.113.xxx这个网段里的IP，则对应的NAT规则就无法正常访问国外网站，这这个网段禁止访问，则整个网络立即恢复正常，一放开那个IP 段，整个网络立即神经了，不用几分钟，下面员工的电话就会接个不停，太神奇了，估计访问那段IP时，公司NAT 用到的那个IP就会被封，也不知是被我们国家封还是被国外封，估计电信不会准确回答我。

再花了一段时间，发现只要有用户到209.53.113.223这个IP，则网络就异常，可能还有其它IP，在AC里显示209.53.113.223对应的DNS名是search.dnssearch.org, 再查相关资料，发现是一个rptnet服务，从AC日志里找到访问那个IP的几台电脑，发现的确是有这个一个Windows服务, 服务名完整名称为“Remote Procedure Call (RPC) Net”，查了资料说是厂家搞的防盗系统（DELL、联想都有），不知是谁在BIOS把它启用，只要一起用，则这个服务会自动安装起来（合法的木马）。

不死心，带一台有这个服务的电脑到隔壁公司(也是电信线路）测试，该公司电脑较少，估计没有电脑装了这个服务，测试发现只要我带去的电脑有数据包发到209.53.113.223, 则72.246.103.25的80端口立即无法连接，国外很多网站立即慢吞吞，看来不是我一家公司的问题。

算了，先把这个IP封掉，为了避免以后IP变化，在DNS服务器加了一个域dnssearch.org, 把search.dnssearch.org强制指向到127.0.0.1杜绝后患。
这个做网络管理一生遇到的最奇葩的事情，希望有遇到同样问题的兄弟可以不用再走弯路了。

还真是奇葩问题，很难遇到，但是遇到了又很难排查！

非常感谢楼主的经验分享，对小伙伴很有帮助！

不只是电信，现在的科技网出口也被墙了，我们正常访问美国的文献数据库也会被封掉。