可能的URL超长导致丢包案例

作者:易隐者 发布于:2012-12-10 14:03 Monday 分类:案例讨论

       上周五,有网友兄弟给我发了一个报文,让我帮忙查看是否存在什么异常问题。我查看其TCP会话交互过程,如下图所示: 

点击查看原图

       单从这个报文交互来看,客户端与服务器的TCP连接建立正常,客户端已经向服务器发送过get请求,并得到了服务器的确认,问题出在客户端向服务器发送的第二个get请求:“
http://192.168.0.12/Default_Login.aspxusercode=x6x9&password=81xx9xxx52x04xx20036xxx8313xx055&

MyCurrentCompany=&rdnum=0.5966797953405811”。

       客户端发出这个get请求之后,在37秒的时间内重传了5次,服务器端无应用数据需要主动的发给客户端,因此在这个时间段内我们未见来自于服务器的报文,而如果客户端的发送的这个get请求到达了服务器端,则服务器会根据其请求内容作出应用响应,最起码服务器端会对客户端的TCP报文发送ACK确认。但是这些都没有出现,这能够说明客户端的get请求报文根本未到达服务器端,即客户端的这个get请求报文被中间设备丢弃了,我们查看客户端的发送的第二个get请求报文的解码

点击查看原图

       我们发现这个报文除了其请求的URL长度较长(420字节)外,其他似乎也没什么特别的,因此,个人推测其被中间设备丢弃的原因可能是其URL超出了防火墙/负载均衡/WAF/IPS等设备的限制,或者是URL中包含“uesr”、“password”等敏感字段而被中间设备丢弃了。

标签: TCP 负载均衡 解码 ACK确认 防火墙 IPS get URL超长 get请求


您对本文的评分:
当前平均分: 9.9(5 次打分)

版权所有:《蚂蚁网-多维人生,三实而立!》 => 《可能的URL超长导致丢包案例
本文地址:http://www.vants.org/?post=202
除非注明,文章均为 《蚂蚁网-多维人生,三实而立!》 原创,欢迎转载!转载请注明本文地址,谢谢。

评论:

飞雪
2013-03-04 11:40
起初也是分析不出问题所在,只是感觉是服务器出来问题,但另外网段访问没有问题,由于没有什么IDS等设备,由于他们前段时间做了防火墙升级,因此判断是防火墙问题,后和防火墙厂家进行了咨询,他们说很快会打补丁包的
飞雪
2013-03-04 11:38
非常感谢兄弟给做的解答,其实这个故障在兄弟的指导下,我在防火墙上几个端口抓包(TCPDUMP),那个长连接的包被转发的了别的端口,由于防火墙升级,造成了子结果,后将防火墙版本降低后解决次问题。
易隐者
2013-03-06 20:24
@飞雪:感谢兄弟反馈,值得他人借鉴!

发表评论:

Powered by 易隐者 基于emlog 皖ICP备12002343号-1