syn重发_疑难杂症之被丢弃的SYN包

最新推荐文章于 2022-04-21 13:39:19 发布
最新推荐文章于 2022-04-21 13:39:19 发布
阅读量1k 收藏 1
点赞数
文章标签: syn重发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33404102/article/details/112843003
版权

1、问题

某项目将原部署与上海机房的一个服务迁移至北京机房,当服务在北京部署后,测试发现从上海机房服务器的应用连不上该在北京机房新部署的服务,而北京同一机房内其他服务器上连接则正常。Ping测试的网络正常。telnet测试时发现两个机房间的服务器连上北京机房服务的端口需要近10秒钟,但从管理员的PC上telnet却正常。

那么问题来了,为什么telnet端口花了近10秒钟?  抓包看看吧。

2、分析

从抓包结果看在客户端在TCP的握手时对端在客户端重发了第三次SYN包后才响应。客户端在发送了第一个SYN包(图上第一个包)后没有收到ACK应答,于是3秒后重发SYN包(图上第二个包),等待6秒后没有收到应答,再次重发SYN包(图上第三个包),这次很快收到了对端的ACK应答(图上第四个包),从第一个SYN包到三次握手成功,总共花了9秒多时间。

同时从对端的抓包结果来看,对端只收到一个SYN包,并马上响应了。

那么现在的问题是前两次发送的SYN包在传送过程中被谁丢弃了?

结合管理员先前的测试,从其PC上telnet正常,只有在上海机房的服务器上telnet有问题,似乎问题是出在上海机房的网络上。在上海机房的该服务器上测试到其他服务器的的连接情况,测试结果发现只有到北京机房的某些服务器有问题,并且到其他的机房没有发现问题。

排查至此,重新定位问题点,不应该是两端一个点的问题,应该是两端某些特定的情况造成连接问题。比较北京有问题和没有问题服务器的网络上和系统上差异,发现有问题的服务器都是在DDOS防护设备防护内。

重新测试,并且在

最低0.47元/天 解锁文章
香香甜甜圈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《关于TCP SYN的超时与传》——那些你应该知道的知识(四)
BBIE的博客
09-23 1万+
近日,在分析某项业务故障时,抓取到,TCP客户端SYN,对端没有收到,然而客户端也没有进行SYN传的现象。具体情况如下图: 可以看到,经过过滤,本次抓抓取到的tcp连接情况,只有客户端主动起了TCP连接,送了建立连接的syn,之后再无关于该tcp连接的任何数据传递生。由此可以推测,该syn没有被服务器端收到,或者服务器端收到syn后没有响应。于是,根据tcp源端口,...
ipvs 导致syn 传问题
Network/Storage/Linux Kernel
05-23 845
(本篇讲的是IPVS自身到指的syn传,和RS的PAWS没关系) sysctl_conn_reuse_mode 为0 时,如果当前IPVS的session是TIME_WAIT或者其他状态,任何进来的packet都会根据当前的session进行转。这就造成一个问题,如果客户端请求都是短连接, 那么IPVS的session都是TIME_WAIT状态,如果客户端来了一个SYN,那么SYN也会将当前的session变成SYN_RECV,然后不会新调度RS。特别是,如果我们将RS权为0,此时一个SYN过来
内核SYNPROXY实现
redwingz的博客
03-03 1134
SYNPROXY配置如下,首先标记需要处理的报文,这里需要两个配置,一是关闭nf_conntrack_tcp_loose,这样无端的TCP报文(非SYN报文)将会被conntrack标记为INVALID状态。二是设置notrack标志,对TCP的SYN报文不继续连接跟踪,其状态为UNTRACKED。 echo 0 > /proc/sys/net/netfilter/nf_conntr...
SYN 在什么场景下会被丢弃
热门推荐
小林coding
12-20 1万+
大家好,我是小林。 之前有个读者在秋招面试的时候,被问了这么一个问题:SYN 报文什么时候情况下会被丢弃? 好家伙,现在面试都问那么细节了吗? 不过话说回来,这个问题跟工作上也是有关系的,因为我就在工作中碰到这么奇怪的时候,客户端向服务端起了连接,但是连接并没有建立起来,通过抓分析现,服务端是收到 SYN 报文了,但是并没有回复 SYN+ACK(TCP 第二次握手),说明 SYN 报文被服务端忽略了,然后客户端就一直在超时SYN 报文,直到达到最大的传次数。 接下来,我就给出我遇到过 SYN
DDoS攻击--Syn_Flood攻击防护详解(TCP)
Linux
04-22 972
Syn_Flood概述 Syn-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。 这种攻击早在1996年就被现,但...
SYN报文什么时候下会被丢弃 516 - 528
05-15
SYN 报文什么时候下会被丢弃 SYN 报文是什么时候下会被丢弃?这个问题跟工作上也是有关系的,因为在工作中可能会碰到奇怪的情况,客户端向服务端起了连接,但是连接并没有建立起来,通过抓分析现,服务端是...
SYN6288_Arduino_demo.zip
04-27
SYN6288语音TTS模块 基于Arduino平台的 中文汉字英文数字混合音DEMO; 进行了详细的注释,接线后,直接刷入Arduino即可使用; 用法: void setup() { /***********************初始化硬串口和软串口*************...
Linux下大量SYN_SENT连接问题的解决方法
09-15
主要介绍了Linux下大量SYN_SENT连接问题的解决方法,需要的朋友可以参考下
SYNFlood.zip_ Synflood_SYNflood_YSNFlood_attack_synflood攻击MFC
07-14
SYNFLOOD 攻击源代码 C++ 实现拒绝服务攻击 可以不断SYN
SYN450R_SYN460R.rar_syn460
07-14
SYN460无线接收芯片详解》 SYN460是一款被广泛应用于无线通信领域的高集成度接收芯片,其卓越的性能和广泛的...通过深入研究SYN450R_SYN460R.pdf文档,可以获取更多关于SYN460的详细信息,进一步提升产品设计水平。
ddos
Alps__的专栏
02-23 564
一,应用层 syn flood --1,提取syn cookie(串行设备上读取,序列号,hash出来的) 同一个,序列号+1,相同源地址请求的序列号是相同的。 syn proxy/syn gate也是相同的道理,用的少。 --2,首丢弃 tcp会传,但有缺点,会有延迟1-1.5s(源地址客户端) --3,主动探测 清洗设备主动要求
DDOS之首丢弃防护
focus on security
03-25 565
丢弃为了防御大流量攻击,与源认证方式结合,有效防御攻击源变换源IP、端口号。 对于TCP、DNS、ICMP报文都具有传的特点,如在交互过程中报文被丢弃,则会传。
字节秋招二面把我干懵了,问我SYN报文什么情况下会被丢弃
fk_99的博客
12-20 395
大家好,我是小林。 之前有个读者在秋招面试的时候,被问了这么一个问题:SYN 报文什么情况下会被丢弃? 好家伙,现在面试都问那么细节了吗? 不过话说回来,这个问题跟工作上也是有关系的,因为我就在工作中碰到这么奇怪的问题。 客户端向服务端起了连接,但是连接并没有建立起来,通过抓分析现,服务端是收到 SYN 报文了,但是并没有回复 SYN+ACK(TCP 第二次握手),说明什么 SYN 报文被服务端忽略了,然后客户端就一直在超时SYN 报文,直到达到最大的传次数。 接下来,我就给
tcp的三次握手 - 数据丢失处理
后端学习
09-21 2667
1.基础概念 三次握手的丢传机制的次数限制和RTO的增长 第一次握手(syn): tcp_syn_retires 的参数来限制第一次握手(syn)的传次数,默认为5次。 第二次握手(ack+ack): tcp_synack_retires的参数来限制第二次握手(ack+syn)的传次数,默认为5次。 第三次握手(ack): tcp_retires2的参数来限制第三次握手(ack)的传次数,默认为15次。 每次传都会导致RTO超时传的时间成倍增长。 2.第一次握手(syn)丢失
已经建立的TCP,收到SYN生什么?
small_engineer的博客
04-21 2710
已经建立的TCP,收到SYN生什么? 该场景可以描述为:客户端与服务端建立连接后,突然客户端死机了,而服务器还处于establelisten状态,这时客户端开机后再次syn报文请求建立连接,那么服务端收到这个syn报文会做出什么反应呢?? 一个TCP连接是由一个四元组唯一确认的,此时源ip,目标ip,目标端口是确定的,只有源端口是不确定的。 客户端SYN报文的源端口与历史端口是不一样的 这样的话,相当于客户端新建立起了一次新的连接 那么服务端处于establelisten状态的连接,如果服务端
TCP 传三次握手的syn+ack以及最后一个ack
zerooffdate的专栏
02-23 9800
我们的一个数据库出现了连接上去之后info请求不返回的问题,为了找到问题原因,我做了一个tcpdump,结果现,他有大量传tcp的第二个,第三个握手,并且在传几次之后reset:嗯,第一个syn传我遇到过了,见我之前的文章,但是第二个和第三个同时传的,我还真没遇到过。而且在我的环境下,这个问题很神奇,因为:第一个能到达,因为返回了第二个syn。说明网络是好的。第二个也回来了,说...
【nginx】网络通讯实战一
Hustle Everyday
04-08 751
C/S,TCP/IP协议妙趣横生、惟妙惟肖谈 一、客户端与服务器 浏览器就是一个可执行程序(客户端),淘宝网nginx服务器返回数据,来回很多次才完全完,最后一个特殊的结束。 【客户端服务器角色规律总结】 a)数据通讯总在两端进行,其中一端叫客户端,另一端叫服务器端; b)总有一方先泛起第一个数据,这起第一个数据的这一端,就叫客户端【浏览器】;被动收到第一个数据这端...
syn_TCP/IP: 超时,传,控流,拥塞处理
weixin_42190623的博客
12-30 1703
上篇文章 关于 TCP/IP 几点总结 用通俗方式讲述了TCP/IP几点基本知识。本文将总结TCP/IP 通信过程经常碰见的几个超时情况1 建连接时SYN超时假设server端接到了clienSYN后回了SYN-ACK后client掉线了,server端没有收到client回来的ACK,那么,这个连接处于一个中间状态,即没成功,也没失败。于是,server端如果在一定时间内没有收到的TCP会...
assign syn_pulse=syn_in&syn_in_n1;
最新发布
06-06
这行代码是什么意思? 这行代码是一个 Verilog HDL 的语句,用于实现逻辑门的功能。它的作用是将输入信号 syn_in 和其反相信号 syn_in_n1 进行与运算,得到一个输出信号 syn_pulse。其中 & 符号表示逻辑与运算,即当且仅当两个输入信号都为 1 时,输出信号才为 1。因此,这行代码的功能可以理解为:当 syn_in 和 syn_in_n1 同时为 1 时,syn_pulse 信号才会被置为 1,否则为 0。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值