使用环境

操作系统：windows-10

网络：互联网

问题描述

厂里互联网下无法访问某网址，家中互联网或手机流量热点可正常访问该网址。

排查步骤

Wireshar抓包查看拦截信息和TTL

1.获取该域名解析IP。

2.打开Wireshar，选择活动的网络连接，并进入捕获界面。

3.停止捕获。选择捕获——>停止。

4.设置捕获特定IP。选择捕获——>选项——>Capture filter for selected interfaces(捕获过滤器)——>填写以下指令——开始捕获。

host 需捕获的IP

5.分别切换能够正常连接该IP的网络和无法正常连接该IP的网络进行捕获并记录。

下图为手机热点正常访问该网站的抓包信息，Time To Live:48，本机192.168访问远端IP返回SYN,ACK代表握手成功。

使用Wireshar和tracert排查网络问题-Wireshar正常网络ilogs.webp

下图为厂里网络无法访问该网站的抓包信息，Time To Live:114，本机192.168访问远端IP返回RST,ACK代表握手失败。

注：Time To Live即TTL，这里TTL差距过大，代表剩余很多跳，握手失败的信息很可能不是访问的IP服务器发出的，很可能是访问请求跳出去后，在到达访问IP服务器的过程种，被上游服务器拦截了该请求。如果两次访问TTL差距不大，但握手失败了，那么很可能是被访问的IP服务器拦截了请求。

使用Wireshar和tracert排查网络问题-Wireshar异常网络ilogs.webp

6.查看RST,ACK是谁发的。展开Ethernet II——>Source MAC。发现信息为Source: Tp-LinkT_8d:1b:02 (a4:1a:XX:8d:XX:02) 。

注：如果是远端服务器拦截，则Source的值就是远端服务器，因为RST,ACK是最后一条的设备返回。

7.查看该设备IP。打开CMD，输入arp -a，根据Wireshar抓包到的MAC地址找到发出RST,ACK 的设备IP。

tracert查看跳转的中间服务器

1.分别切换能够正常连接该IP的网络和无法正常连接该IP的网络使用tracert查看经过了多少跳。

#windows
tracert 目标IP
#Linux
traceroute 目标IP

#能够正常连接该IP的网络
通过最多 30 个跃点跟踪到 223.XXX.XX.X 的路由
1     3 ms     1 ms    <1 毫秒 192.168.2.1
2     *        *        *     请求超时。
3    36 ms    12 ms     2 ms  58.XX.XX.XX（公网IP）
4     5 ms     6 ms     9 ms  111.XXX.XXX.XXX（运营商城域网出口地址）
5     *        *        *     请求超时。
6     *        *        *     请求超时。
7    19 ms    20 ms     *     202.XXX.XX.XXX（运营商骨干网路由设备）
8     *        *        *     请求超时。
9    28 ms    21 ms    23 ms  106.120.XXX.XX（运营商北京节点数据中心汇聚出口）
10    42 ms    48 ms    27 ms  X.XXX.XXX.XXX（公网核心业务网段）
11     *        *        *     请求超时。
12     *        *        *     请求超时。
13     *        *        *     请求超时。
14     *        *        *     请求超时。
15     *        *        *     请求超时。
16     *        *        *     请求超时。
17     *        *        *     请求超时。
18     *        *        *     请求超时。
19     *        *        *     请求超时。
20     *        *        *     请求超时。
21     *        *        *     请求超时。
22     *        *        *     请求超时。
23     *        *        *     请求超时。
24     *        *        *     请求超时。
25     *        *        *     请求超时。
26     *        *        *     请求超时。
27     *        *        *     请求超时。
28     *        *        *     请求超时。
29     *        *        *     请求超时。
30     *        *        *     请求超时。
跟踪完成。

#无法正常连接该IP的网络
通过最多 30 个跃点跟踪到 223.XXX.XX.X 的路由
1     6 ms     2 ms     2 ms  192.168.47.47
2     *        *        *     请求超时。
3    22 ms    17 ms    14 ms  10.XX.X.XXX（内网,企业出口防火墙/行为审计）
4     *        *        *     请求超时。
5     *        *        *     请求超时。
6     *        *        *     请求超时。
7     *        *        *     请求超时。
8     *        *        *     请求超时。
9     *        *        *     请求超时。
10    34 ms    38 ms    41 ms  30.XXX.XXX.XXX.broad.bj.bj.static.163data.com.cn [124.XXX.XXX.XX]（运营商北京节点数据中心汇聚出口）
11     *        *        *     请求超时。
12     *        *        *     请求超时。
13     *        *        *     请求超时。
14     *        *        *     请求超时。
15     *        *        *     请求超时。
16     *        *        *     请求超时。
17     *        *        *     请求超时。
18     *        *        *     请求超时。
19     *        *        *     请求超时。
20     *        *        *     请求超时。
21     *        *        *     请求超时。
22     *        *        *     请求超时。
23     *        *        *     请求超时。
24     *        *        *     请求超时。
25     *        *        *     请求超时。
26     *        *        *     请求超时。
27     *        *        *     请求超时。
28     *        *        *     请求超时。
29     *        *        *     请求超时。
30     *        *        *     请求超时。
跟踪完成。

结论

结合Wireshar和tracert的信息可知，该网址不是目标服务器主动拒绝，而是请求在到达目标服务器之前，被企业出口安全设备/策略拦截中断连接。

手机热点

1.返回SYN,ACK，握手正常完成，目标服务器可正常访问。

2.TTL=48，接近公网服务器常见返回值。

3.tracert路由进入运营商骨干网并继续向公网核心网段转发。

厂里网络

1.返回RST,ACK，握手失败，目标服务器无法访问。

2.TTL=114 ，明显偏大，跳的太多。

3.tracert路由在经过企业出口防火墙/行为审计设备（10.x.x.x）后，公网路径异常中断，未能继续到达目标IP所在网络。

4.Wireshar显示RST,ACK是Source: Tp-LinkT_8d:1b:02 (a4:1a:XX:8d:XX:02)返回的，基本已经确定不是被运营商拦截，而是请求未出去的时候被拦截了。

目录CONTENT

使用Wireshar和tracert排查网络问题