2.6 KiB
2.6 KiB
【E21现场】业主在查询总部测试环境接入系统流量不全问题时发现了系统日志存在缺失情况
| ID | Creation Date | Assignee | Status |
|---|---|---|---|
| OMPUB-925 | 2023-05-17T03:10:51.000+0800 | 刘洋 | 已关闭 |
2023-05-16
业主为自行验证今天总部网络环境下我们给出的接入流量依然不全的分析结论。下午快下班回到办公室,在办公室网络下(client ip:213.55.96.14这个网络环境下,psiphon3目前测试FD效果一直很好目前,youtube、Facebook、telegram封堵正常。昨天他先测试了这个网络下youtube、Facebook、telegram均封堵正常,然后访问了ask.com。)访问了ask.com网站查询拨测流量中具体的tcp_stream,并在系统里查询相关的对应的session日志后怀疑目前接入系统的流量日志可能在系统里存在展示不全的情况,对此,我已回复业主明天会排查。
业主认为只有数据包中的流和系统日志里完全能对出来,他才能说将系统展示出来的日志作为依据,去进一步处理总部测试环境可能接入系统流量不完整的情况。
对此,明天该如何回复业主查询结果。 yangwei commented on 2023-05-22T09:51:59.370+0800:
2023-05-17 对用户提出的在{}办公网环境{}访问{}ask.com{},TSG系统查询对应时段会话日志不完整的问题进行排查,
结论如下:
办公网环境产生的网络流量,经过两处部署TSG系统的站点,Old Airport-PE和 Bole-IGW
- Old Airport-PE {}接入流量完整{},TSG系统产生的{}日志完整{} ** 用户提供的客户端捕获的pcap中,包含访问ask.com的4条会话,可以在TSG系统查询到 ** 办公网环境出口应该部署有四层的NAT,对数据包进行了ISN转换,导致客户端捕获的TCP_ISN,与TSG系统在PE和IGW中记录的不一致,只能通过JA3_HASH+服务端IP+客户端公网IP+SSL SNI查询后比对数量 *** 考虑SSL日志中增加tls_session_id
- Bole-IGW {}现象为日志不完整,{}仅查询到对应1条会话的c2s侧日志,暂时无法确认是丢流量,还是丢日志。{}建议向用户反馈Bole-IGW可能流量不完整{}。
Attachments
Attachment: askcom.rar
Attachment: sessionRecords-askcom.xlsx