Назад | Перейти на главную страницу

Цикл RST / ACK с SSL-сервером

Похоже, у нас проблема с довольно большими потоками RST / ACK (40kpps), связанными с портом HTTPS. Я не уверен, связана ли часть HTTPS. Процесс выглядит примерно так:

Клиент запрашивает что-то с нашего веб-сервера (nginx, Linux 3.16, HTTPS).
Соединение остается активным, но через некоторое время закрывается nginx. IIRC nginx делает это с помощью RST.
Через некоторое время клиент хочет закрыть соединение и отправляет FIN.
Наш сервер отвечает RST, потому что соединение не существует.
Клиент отвечает ACK на вызов, согласно RFC 5961.
Сервер отвечает RST.
... повторить последние два шага, что приведет к потопу ...

Я думаю, это связано с устройствами Sonicwall. По крайней мере для одного клиента я смог проверить, что на другом конце находится устройство Sonicwall. Sonicwall винит другой конец.

Я еще не успел запечатлеть весь разговор, но начало флуда у меня есть. Я похож на еще один вопрос я нашел.

Некоторые вопросы, которые я пытаюсь выяснить:

Почему это происходит?
Кто виноват?
Почему это происходит сейчас? Мы перевели больше трафика на HTTPS, но это не должно быть причиной.
Как это предотвратить? RST с ограничением скорости? Другие меры?

Начало разговора в tcpdump -v формат:

11:28:14.643566 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 129)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [FP.], cksum 0x649e (correct), seq 3515035885:3515035962, ack 410325601, win 2048, options [nop,nop,TS val 1134955136 ecr 53744583], length 77
11:28:14.643600 IP (tos 0x28, ttl 64, id 47919, offset 0, flags [DF], proto TCP (6), length 40)
    93.186.cc.dd.443 > 87.213.aa.bb.50813: Flags [R], cksum 0x2fe2 (correct), seq 410325601, win 0, length 0
11:28:14.643605 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 129)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [FP.], cksum 0x649e (correct), seq 0:77, ack 1, win 2048, options [nop,nop,TS val 1134955136 ecr 53744583], length 77
11:28:14.643612 IP (tos 0x28, ttl 64, id 47920, offset 0, flags [DF], proto TCP (6), length 40)
    93.186.cc.dd.443 > 87.213.aa.bb.50813: Flags [R], cksum 0x2fe2 (correct), seq 410325601, win 0, length 0
11:28:14.643613 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 129)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [FP.], cksum 0x649e (correct), seq 0:77, ack 1, win 2048, options [nop,nop,TS val 1134955136 ecr 53744583], length 77
11:28:14.643617 IP (tos 0x28, ttl 64, id 47921, offset 0, flags [DF], proto TCP (6), length 40)
    93.186.cc.dd.443 > 87.213.aa.bb.50813: Flags [R], cksum 0x2fe2 (correct), seq 410325601, win 0, length 0
11:28:14.649283 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 40)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [.], cksum 0x2517 (correct), ack 1, win 2048, length 0
11:28:14.649317 IP (tos 0x28, ttl 64, id 47922, offset 0, flags [DF], proto TCP (6), length 40)
    93.186.cc.dd.443 > 87.213.aa.bb.50813: Flags [R], cksum 0x2fe2 (correct), seq 410325601, win 0, length 0
11:28:14.649322 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 40)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [.], cksum 0x2517 (correct), ack 1, win 2048, length 0
11:28:14.649328 IP (tos 0x28, ttl 64, id 47923, offset 0, flags [DF], proto TCP (6), length 40)
    93.186.cc.dd.443 > 87.213.aa.bb.50813: Flags [R], cksum 0x2fe2 (correct), seq 410325601, win 0, length 0

Подробнее об обмене ACK / RST в tcpdump -X -vv формат:

11:31:23.689348 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 40)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [.], cksum 0x2517 (correct), seq 0, ack 1, win 2048, length 0
    0x0000:  4528 0028 0000 4000 3706 b6b8 57d5 18aa  E(.(..@.7...W...
    0x0010:  5dba beb6 c67d 01bb d183 313b 1875 1261  ]....}....1;.u.a
    0x0020:  5010 0800 2517 0000 0000 0000 0000       P...%.........
11:31:23.689515 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 40)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [.], cksum 0x2517 (correct), seq 0, ack 1, win 2048, length 0
    0x0000:  4528 0028 0000 4000 3706 b6b8 57d5 18aa  E(.(..@.7...W...
    0x0010:  5dba beb6 c67d 01bb d183 313b 1875 1261  ]....}....1;.u.a
    0x0020:  5010 0800 2517 0000 0000 0000 0000       P...%.........
11:31:23.689522 IP (tos 0x28, ttl 64, id 39460, offset 0, flags [DF], proto TCP (6), length 40)
    93.186.cc.dd.443 > 87.213.aa.bb.50813: Flags [R], cksum 0x2fe2 (correct), seq 410325601, win 0, length 0
    0x0000:  4528 0028 9a24 4000 4006 1394 5dba beb6  E(.(.$@.@...]...
    0x0010:  57d5 18aa 01bb c67d 1875 1261 0000 0000  W......}.u.a....
    0x0020:  5004 0000 2fe2 0000                      P.../...
11:31:23.689523 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 40)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [.], cksum 0x2517 (correct), seq 0, ack 1, win 2048, length 0
    0x0000:  4528 0028 0000 4000 3706 b6b8 57d5 18aa  E(.(..@.7...W...
    0x0010:  5dba beb6 c67d 01bb d183 313b 1875 1261  ]....}....1;.u.a
    0x0020:  5010 0800 2517 0000 0000 0000 0000       P...%.........
11:31:23.689526 IP (tos 0x28, ttl 64, id 39461, offset 0, flags [DF], proto TCP (6), length 40)
    93.186.cc.dd.443 > 87.213.aa.bb.50813: Flags [R], cksum 0x2fe2 (correct), seq 410325601, win 0, length 0
    0x0000:  4528 0028 9a25 4000 4006 1393 5dba beb6  E(.(.%@.@...]...
    0x0010:  57d5 18aa 01bb c67d 1875 1261 0000 0000  W......}.u.a....
    0x0020:  5004 0000 2fe2 0000                      P.../...
11:31:23.689527 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 40)
    87.213.aa.bb.50813 > 93.186.cc.dd.443: Flags [.], cksum 0x2517 (correct), seq 0, ack 1, win 2048, length 0
    0x0000:  4528 0028 0000 4000 3706 b6b8 57d5 18aa  E(.(..@.7...W...
    0x0010:  5dba beb6 c67d 01bb d183 313b 1875 1261  ]....}....1;.u.a
    0x0020:  5010 0800 2517 0000 0000 0000 0000       P...%.........

Любые идеи приветствуются!

networking tcp