开发者社区> 问答> 正文

TCP 劫持导致某地移动 CDN 节点 HTTPS 访问失败怎么办?

"在使用阿里云 CDN 服务时,在业务侧做的监控报警显示某地移动业务不可用。根据提供的URL 和 CDN 节点 Vip 测试发现,会出现 SSL 握手失败。"

展开
收起
EXCEED 2022-01-11 14:40:39 2556 0
1 条回答
写回答
取消 提交回答
  • 根据抓包分析,可以发现以下几个点: l TCP 握手包、服务端响应包的 TTL 为 49,而 RST 包的 TTL 为 58,这个抖动很大。正常情况 TCP 握手成功以后,在 TCP 断开前,这条链路应该是稳定的,TTL 基本会维持固定的值,不 会马上出现这么大的变动。 l Identification 明显不符合 RFC 标准。如果 81 和 84 号包都是同一个 CDN 节点响应的,那么 84 号包应该有一个具体的 Identification Value 值,而不是和 81 号包保持一致,都是 0。 综上所述,基本上可以判断是运营商劫持行为,且是针对这个域名做的劫持,CDN 作为一个服 务端来说确实无法处理该类问题。因此,提供相关的抓包证明,给相关运营商报故障处理。整个 HT TPS 的请求过程如下: l 客户端发起一次 HTTPS 请求,首先客户端和服务端完成了 TCP 握手,而这个 TCP 握手确实 是和 CDN 节点握手的。 说明:一般情况下握手的包不会被劫持。 l 握手成功以后客户端发起 SSL 握手请求,这个请求最终却没有到达真正的 CDN 节点,而是 被劫持到中间某一个路由节点给直接 RST。资源来源于《对象存储&视频云35条实战秘籍》,下载链接:https://developer.aliyun.com/topic/download?id=8226

    2022-01-11 16:06:43
    赞同 展开评论 打赏
来源圈子
更多
收录在圈子:
作为全球云计算的领先者,阿里云为全球230万企业提供着云计算服务,服务范围覆盖200多个国家和地区。我们致力于为企业、政府等组织机构提供安全可靠的云计算服务,给用户带来极速愉悦的服务体验。
问答排行榜
最热
最新

相关电子书

更多
CDN技术架构 立即下载
构建智能化的视频系统 阿里云CDN的进化 立即下载
CDN助力企业网站进入HTTPS时代 立即下载