远程桌面无法访问——用wireshark定位问题

最新推荐文章于 2024-07-15 17:30:06 发布
最新推荐文章于 2024-07-15 17:30:06 发布
阅读量1.2k 收藏 1
点赞数 2
分类专栏: 网络 文章标签: wireshark
原文链接:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=64147
版权

作者:望伊如西  2019-1-31 09:15

原文:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=64147

 

问题:总部PC去访问分支的服务器3389桌面,会出现不定时中断的问题
1. 10.0.2.132为PC10.16.2.200为远程桌面的服务器
2.     拓扑环境
总部:VPN---AC---SW---PC (10.0.2.132)
分支:VPN---SW---- PC (10.16.2.200)
总部有三层环境,AC透明模式部署,分支二层环境,就一个网段
3.     数据包是总部访问分支访问不了的时候抓取的数据包,要求通过数据包,分析问题原因。
 
排查思路:
1.     只抓取了分支vpn上eth0口的包和总部vpn设备eth0上的包(建议是分支电脑和总部服务器都抓取,抓不了也没办法)
2.     因为是终端pc访问服务器的时候经常断开。所以先看在终端侧的数据包,也即是查看zbssleth0这个包
  点开之后,先点击 Statistics,选中 conversation
        出现下图界面,选中 TCP,看到存在三个连接。说明应该是测试过3次。其中注意到字节数Bytes, 第二个连接有112kB,比其他连接传输的数据都多,那我们就先来看这个连接。
         怎么看呢?右键该连接后,照下图操作
        wireshark自动过滤该连接,显示如下界面
      我们可以点开专家分析来看看,是否存在什么问题。点开之后,记得把 Limit to Displayfilter 给勾上,这样才会显示在wireshark过滤后展示页面的信息。
 
       由于不涉及访问卡慢的问题,所以此时我们没必要看重传等信息。重点应该关注是什么导致的连接  断开。此时,明显能看到告警信息中,存在RST包,那我们就可以看下304号包与306号包。
 
        找到304号包与306包后,发现后面就再也没有数据了,说明此时连接是中断了。明明数据传的好好   的,怎么突然客户端10.0.2.132就发送一个RST包呢。此时需要注意的是,我们的数据包是在总部vpn设备上eth0口抓的,也就是说这个流量是从内部传过来的。结合着总部的拓扑情况,出现中断,  可能存在2种情况。要么是客户端自己的问题,要么就是有啥子设备替客户端发送了这个RST数据包
 
       一个直接的办法就是在客户端上抓包。看下客户端有没有发出这个RST包。如果没有,结合着网络拓  扑,那基本就可以确定是AC发了这个RST包了(第一个,客户环境比较简单;第二个,谁叫AC是行   为管控呢)。如果客户端上的抓包有这个RST,那就是客户端的问题。
       如果客户说,我电脑上不能安装其他软件(不管为啥,你就当死活不允许好了)。那就是说,我们  不能在客户端上抓包。那好,我们就只能在现有的数据包中获取蛛丝马迹了。
       此时,我们还有一个方法判断是不是由客户端发出的这个RST包,那就是通过IP.ID这个参数。
       IP.ID是什么鬼?那我们要知道数据包是如何封装的,如下图所示。IP.ID是IP数据报头中的一个字段。表明了一个数据包的身份,比如一个数据内容过大,被传输的  时候就要对这个数据进行切割,即进行分片。当接收方收到这些分片后,需要把这些分片组装起来,那接收方每次收这么多的数据包,它咋知道哪些分片是从同一个数据内容中出来的呢?就要靠IP.ID了,通过IP.ID就可以把这些分片组装起来,还原成最初始的大块数据。就像你玩乐高玩具,乐  高里面这么多零件,如果这些零件中混入了其他玩具的零件。那你想把这个乐高玩具组装起来肯定 需要一个标识来进行识别哪些零件是同属于一个乐高模型的。
 
       上述还只是告诉了你,啥是IP.ID。那回到问题中来,你还需要知道的一个点就是,如果是一个设备   去发数据包,那么他的IP.ID增长是线性的。即一般来说,同一台设备发出第一个包,如果IP.ID是1,   第二个包就是2。就算不符合这规律,那数值起码也不会差太多。
       我们再来看下wireshark,299号包的IP.ID=18970。302号包的IP.ID=18971。而304号包的
IP.ID=22566。那RST包和之前的两个包,这数值也差的太多了啊,所以基本能判断这个包不是客户端发出的
 
其实在ac上抓包,你就能看到ac给客户端和服务器两边都发了rst包,而服务器与客户端都没有发过。
这也说明了ac设备的强大。不信你看该文档:链路劫持攻击一二三,里面就说了“中断访问型常见于阻止用户访问某些网站,如某些设备禁止用户访问某些站点、某地运营商的禁止ADSL多终端上网功能。其原理就是伪造服务端给用户发RST包阻止TCP连接的建立(单向发包)。某些设备做得比较狠,在冒充服务端给用户发RST包的同时也冒充用户给服务端发RST包(双向发包)。”
同时你参阅上述文章也可以发现,要定位问题,除了可以使用ip.id这个参数,还可以使用ip首部中TTL值来进行问题判断,根据ttl的跳数应该也是可以定位出出问题的设备位置
 
另带
通过vpn进行数据互访,ping的时候不丢包也不延时,但是使用应用时就是访问卡慢,模块半天显示不出来,如何通过wireshark定位问题。
 
另2篇文章:

 

 

maimang09
关注
专栏目录
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
杨秀璋的专栏
02-28 8792
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。这篇文章将讲解虚拟机基础知识,包括XP操作系统安装、文件共享设置、网络快照及网络设置等,最后分享虚拟机中安装安全软件进行BBS密码抓取的实验。基础性文章,希望对您有所帮助。
【20230511】Qt5、Qt6执行文件运行错误(无法定位程序输入
Creationyang的博客
05-11 1309
编写Qt程序后,从文件夹打开,击可执行文件,报以下错误。(网上大部分让你在系统环境变量Path中添加相关库文件路径,并不能解决此问题)。
wireshark抓不到数据包的解决方法 TOE技术
01-26
wireshark 抓不到数据包的解决方法-TOE技术以及TOE网卡的工作原理.wireshark 抓不到 数据包 TOE技术 抓不到包
满满干活-wireshark进阶篇《Wireshark的看图技巧》,练就你火眼金睛,助您快速在百万数据包中定位原因
最新发布
weixin_45247563的博客
07-15 1173
这篇文章是我总结我工作以来的的wireshark的操作经验,学完后,可以快速在茫茫数据中,一眼定位出原因。也是我自己对于wireshark的学习与总结,废话不多说,开始吧。好看,有用,请不要吝啬赞哦。当前文章只列出看图技巧其他文章可以击我的空间进行查看。
SystemParametersInfo调用失败的问题
youxidonxx的专栏
11-27 951
SystemParametersInfo函数总是返回FALSE,上网查了一下,发现是NONCLIENTMETRICS的结构体大小的问题。NONCLIENTMETRICS是这样定义的 typedef struct tagNONCLIENTMETRICS { UINT cbSize; int iBorderWidth; int iScrollWidth; int iScrollH
Linux下普通用户不能启动wireshark的解决方法。
m_wuhen的专栏
09-27 746
apt install wireshark dpkg-reconfigure wireshark-common # 选择是 usermod -a -G wireshark xxxx # xxxx为普通用户名称
解决Wireshark安装后不能打开的问题
aa_qq110的专栏
12-13 4470
wireshark,这条厉害的小鲨鱼,陪伴我多年!
解决Linux 中Wireshark因权限不够无法启动的问题
我的博客
06-12 1783
Wireshark因权限不够无法启动的问题 问题:启动wireshak,显示can’t open /usr/bin/dumpcap 解决方案:将普通用户加入wireshark用户组中。 步骤一 添加用户组wireshark。 sudo groupadd wireshark 步骤二 将dumpcap更改为wireshark用户组。 sudo chgrp wireshark /usr/bin/sumpcap 步骤三 将wireshark用户组有root权限使用dumpcap sudo chmod 4755 /
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
[网络安全自学篇] 九十一.阿里云搭建LNMP环境及实现PHP自定义网站IP访问 (1)
杨秀璋的专栏
07-25 6339
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。本文主要分享作阿里云搭建LNMP环境及实现PHP自定义网站IP访问,同时详细介绍走过的坑,还发了朋友圈求助大家,再次感谢。本来想重新设置一个专栏分享基于阿里云的PHP网站搭建,但考虑到搞安全的也会面临各种靶场及个人网站搭建的情况,所以将这篇文章放置在“网络安全自学篇”中,后续还会分享PHP如何记录后台IP及Python定位经纬度等知识,希望对您有所帮助~
拯救鲨鱼!Helping wiresharkwireshark未响应解决方法
m0_73756016的博客
04-09 445
做题的的时候 在用wireshark解密tls秘钥的时候我的小鲨鱼突然未响应了然后我多次尝试无果并且殃及池鱼我电脑上所有的流量包都打不开了?!!!于是乎尝试删了重下还是未响应开始怀疑电脑 重启电脑两次还是打不开开始怀疑人生。。。
linux centos下网站打不开,用wireshark定位问题
houzhizhen的专栏
10-27 1146
linux下网站打不开,以root用户安装wireshark
完美解决win7系统使用wireshark未响应问题
SmileAssassn的博客
12-31 1797
解决win7版本使用wireshark未响应问题
解决Windows10下Wireshark的运行问题
Bland New 的博客
11-29 2806
解决Windows 10下Wireshark运行问题 在Windows 10下,安装Wireshark时候,提示WinPcap不被系统系统支持。这是由于最新版的WinPcap 4.1.3只支持到Windows 8。如果在Windows 10下安装,就会提示不兼容。这个问题有两种解决办法。 第一种办法是,忽略警告,继续安装WinPcap。运行的时候,以兼容模式运行WinPcap。 第二种办法是,安装Win10Pcap。这是WinPcap项目的一个分支软件。它支持Windows 7/8/10。用户可以到http
wireshark常见使用操作讲解以及几个故障解决案例分享
qq_23930765的博客
02-28 4353
问题解决:把端口映射配置删除掉,重新配置了一次,问题解决,映射生效,可以正常的建立三次握手建立TCP连接了,如果实际中重新配置还是没用,还可以在服务器端口开启wireshark的抓包,匹配客户端过来的地址,看是否有收到,如果没收到,正面对方流量没过来,可能是运营商过滤了,或者路由器收到没有转发。实际中,可能会遇到这样的情况,Ping对方是通的,但是访问具体的业务却不通,在无法定位的时候,wireshark可以帮忙缩短这些可能性的范围。192.168.1.1,则匹配出192.168.1.1的信息。
无法定位程序输入,于动态链接库xxx上的可能原因及解决方法
热门推荐
zeeq的博客
04-12 8万+
  启动自己编译生成的cloudcompare.exe的时候,报错说无法定位程序输入,如下图所示:   其原因可能有两个,一个是找不到依赖的某些dll,另一个是有些依赖库存在版本冲突。在我这里是由于Qt的版本冲突造成的。因为之前用的是qt5.9.9,而现在使用的是qt5.14.0。解决办法就是,检查一下环境变量里面的依赖库dll路径,看是否混用了,或者看一下使用的dll版本是否正确。 ......
如何用wireshark定位问题
10-11
Wireshark是一款开源的网络数据包分析软件,可以用来监听、捕获和分析网络数据包,帮助定位和解决网络问题。以下是使用Wireshark定位问题的步骤: 1. 确认网络拓扑结构,找出存在问题的设备和网络路径。 2. 在问题设备或周边设备上安装Wireshark并启动捕获。 3. 触发或模拟出现问题的场景,例如网络延迟或数据包丢失等。 4. 停止Wireshark捕获并分析数据包,查看是否存在异常或错误。 5. 根据捕获的数据包分析问题原因和位置,并采取相应的措施进行修复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值