某公司原本使用某運(yùn)營(yíng)商的互聯(lián)網(wǎng)業(yè)務(wù)，使用各種應(yīng)用都沒有問題。更換另一運(yùn)營(yíng)商的互聯(lián)網(wǎng)業(yè)務(wù)后，發(fā)現(xiàn)登錄QQ經(jīng)常多人同時(shí)掉線，各個(gè)樓層、辦公室均出現(xiàn)過這種情況，但瀏覽網(wǎng)頁及其他應(yīng)用均沒有問題。用戶曾經(jīng)直接把PC接到出口防火墻上測(cè)試，仍出現(xiàn)此情況，因此懷疑是運(yùn)營(yíng)商的互聯(lián)網(wǎng)業(yè)務(wù)有故障。

　　用戶的網(wǎng)絡(luò)環(huán)境示意圖如下：

　　用戶租用了50Mbps的裸光纖專線連接互聯(lián)網(wǎng)，在防火墻上實(shí)現(xiàn)NAT轉(zhuǎn)換功能。本案例在筆記本部署科來網(wǎng)絡(luò)分析系統(tǒng)，連接到用戶的辦公網(wǎng)絡(luò)抓包分析掉線的原因。

　　案例分析

　　在用戶的防火墻觀察出口流量，雙向流量均不到20Mbps，可以判斷不是流量過大而導(dǎo)致QQ掉線的。

　　ping運(yùn)營(yíng)商的互聯(lián)接口不丟包，ping QQ的服務(wù)器（183。60。48。247），有少量丟包，卻不掉線，說明少量丟包并不會(huì)造成QQ掉線。

　　在PC端發(fā)現(xiàn)QQ掉線后，大約1秒就自動(dòng)恢復(fù)連接。而平時(shí)因網(wǎng)絡(luò)丟包或時(shí)延大而導(dǎo)致的掉線，會(huì)等若干秒才能連上。用科來網(wǎng)絡(luò)分析系統(tǒng)進(jìn)行分析，發(fā)現(xiàn)掉線是由QQ服務(wù)器Reset TCP連接導(dǎo)致的。這也就能解釋為何掉線后能立即連上。抓包截圖如下：

　　為防止這個(gè)Reset是網(wǎng)絡(luò)中間的安全設(shè)備假冒QQ服務(wù)器發(fā)出的，特查看該Reset包的TTL是否與之前的包一致。查看后發(fā)現(xiàn)，收到的Reset包TTL值均為50，可以判斷不是中間設(shè)備假冒QQ服務(wù)器發(fā)出來的Reset。

　　分析結(jié)論

　　通過以上數(shù)據(jù)分析，我們可以判斷用戶QQ掉線與運(yùn)營(yíng)商網(wǎng)絡(luò)無關(guān)，是QQ服務(wù)器由于某種原因主動(dòng)Reset中斷了用戶的會(huì)話。

　　針對(duì)QQ服務(wù)器發(fā)出Reset的問題，與騰訊取得聯(lián)系，騰訊經(jīng)過檢查L(zhǎng)og記錄，確認(rèn)是由于用戶端的IP由114。247。136。33變?yōu)榱?14。247。136。35?？梢耘袛嗍怯脩舻姆阑饓AT功能出現(xiàn)了異常，所以導(dǎo)致用戶的公網(wǎng)IP地址在通信過程中發(fā)生變換。