QQ掉线分析案例

CSNA网络分析专家

案例分析报告

某公司挂QQ掉线分析案例

2013年4月

目录

1.故障描述 3

1.1故障现象 (3)

1.2网络拓扑 (3)

2.分析过程 4

某公司挂QQ掉线分析案例

1.故障描述

1.1故障现象

某公司原本使用电信的互联网业务，使用各种应用都没有问题。更换成联通的互联网业务后，就发现挂QQ经常多人同时掉线，各个楼层、办公室均出现过这种情况，但是浏览网页及其他应用没有问题。用户曾经直接把PC接到出口防火墙上测试，仍出现此情况，因此怀疑是联通的互联网业务有故障。

1.2网络拓扑

用户的网络环境示意图如下：

用户网络如上图所示，租用了50Mbps的裸光纤专线连接互联网，在防火墙上实现NAT转换功能。本案例中在笔记本部署科来网络分析系统，接到用户的办公网挂QQ时抓包，分析掉线的原因。

2.分析过程

●在用户的防火墙观察出口流量，双向流量均不到20Mbps，看来不是流量过

大而导致QQ掉线的。

●ping运营商的互联接口不丢包，ping QQ的服务器（183.60.48.247），有少

量丢包，却不掉线。说明少量丢包并不会造成QQ掉线。

●在笔记本发现QQ掉线后，大约1秒就自动连上了。而平时因网络丢包或时

延大而导致的掉线，会等若干秒才能连上。用科来网络分析系统进行分析，发现掉线是由QQ服务器Reset TCP连接导致的。这也就能解释为何掉线后能立即连上。抓包截图如下：

●为防止这个Reset是网络中间的安全设备假冒QQ服务器发出的，特查看该

Reset包的TTL是否与之前的包一致，如图所示：

收到的Reset包TTL值为50。之前QQ服务器发来的包截图如下：

TTL值也是50。看来不像是有安全设备假冒QQ服务器发出来的Reset。 针对QQ服务器发出Reset的问题，与腾讯取得联系，腾讯经过检查Log

记录，确认是由于用户端的IP由114.247.136.33变为了114.247.136.35。看来是用户的防火墙NAT功能出现了问题，否则怎么会在通信过程中变换地址呢。