[分析案例]记一次https访问异常分析过程

记一次https访问异常分析过程1.故障环境服务器部署在客户机房，通过端口映射443、22端口进行日常管理和维护。2.故障现像443端口不访问，浏览器提示无法显示此页面。22端口可以正常访问，SSH能正常操作。客户端访问其它IP的HTTPS服务均是正常情况。3.故障分析让客户协助检测路由映射，一切正常，删掉重新配置映射，问题依旧；SSH登录服务器，检查证书、配置，重启服务，问题依旧；既然常规的方法不能解决问题，那我们就抓包来分析一下看看，首先分析客户端的访问情况：发现客户端与服务器的三次握手成功建立后，客户端开始发送交易数据，但服务器端随后发送RST数据包，数据包显示是服务端发送RST包关闭连接。。看来问题出在服务器端，ssh登录服务器，通过tcpdump进行数据采集：可以看到，在服务器（201为服务器的实际IP地址）上采集数据看到的结果与客户端的结果反全相反，数据包显示是客户端发送RST包关闭连接。为什么会这样呢？对，设备阻断或劫持，可能是中间有设备在搞鬼，马上切换到数据包视图，查看ttl值的变化情况：清晰的看到，https会话最后一个数据包的TTL值为251，与前面的值不相同，再来看ssh时服务端返回的TTL值：问题原因找到，应该是客户网络里的某个设备对https设置了相关的策略所致。电话联系客户，详细沟通情况，半小早后客户反馈，原来是他们另一同事在测试的一款安全设备上设置了策略，将策略去除后，服务器https访问恢复正常。