某公司原本使用某運營商的互聯(lián)網(wǎng)業(yè)務，使用各種應用都沒有問題。更換另一運營商的互聯(lián)網(wǎng)業(yè)務后，發(fā)現(xiàn)登錄QQ經(jīng)常多人同時掉線，各個樓層、辦公室均出現(xiàn)過這種情況，但瀏覽網(wǎng)頁及其他應用均沒有問題。用戶曾經(jīng)直接把PC接到出口防火墻上測試，仍出現(xiàn)此情況，因此懷疑是運營商的互聯(lián)網(wǎng)業(yè)務有故障。

 

用戶的網(wǎng)絡環(huán)境示意圖如下：

 

用戶租用了50Mbps的裸光纖專線連接互聯(lián)網(wǎng)，在防火墻上實現(xiàn)NAT轉換功能。本案例在筆記本部署科來網(wǎng)絡分析系統(tǒng)，連接到用戶的辦公網(wǎng)絡抓包分析掉線的原因。

 

 

·在用戶的防火墻觀察出口流量，雙向流量均不到20Mbps，可以判斷不是流量過大而導致QQ掉線的。

·ping運營商的互聯(lián)接口不丟包，ping QQ的服務器（183.60.48.247），有少量丟包，卻不掉線，說明少量丟包并不會造成QQ掉線。

·在PC端發(fā)現(xiàn)QQ掉線后，大約1秒就自動恢復連接。而平時因網(wǎng)絡丟包或時延大而導致的掉線，會等若干秒才能連上。用科來網(wǎng)絡分析系統(tǒng)進行分析，發(fā)現(xiàn)掉線是由QQ服務器Reset TCP連接導致的。這也就能解釋為何掉線后能立即連上。抓包截圖如下：

 

為防止這個Reset是網(wǎng)絡中間的安全設備假冒QQ服務器發(fā)出的，特查看該Reset包的TTL是否與之前的包一致。查看后發(fā)現(xiàn)，收到的Reset包TTL值均為50，可以判斷不是中間設備假冒QQ服務器發(fā)出來的Reset。

 

 

·通過以上數(shù)據(jù)分析，我們可以判斷用戶QQ掉線與運營商網(wǎng)絡無關，是QQ服務器由于某種原因主動Reset中斷了用戶的會話。

·針對QQ服務器發(fā)出Reset的問題，與騰訊取得聯(lián)系，騰訊經(jīng)過檢查Log記錄，確認是由于用戶端的IP由114.247.136.33變?yōu)榱?14.247.136.35?？梢耘袛嗍怯脩舻姆阑饓AT功能出現(xiàn)了異常，所以導致用戶的公網(wǎng)IP地址在通信過程中發(fā)生變換。