Der Server antwortet mit Verzögerung auf TCP-SYN-Pakete

Ich habe die folgende Netzwerktopologie:

Wenn Arbeitsstation eine Verbindung herstellt zu HTTPS Server - Server , dann in der Regel - Server sendet SYN + ACK - Paket mit 60 Sekunden Verzögerung ~. Die Paketerfassung vom Server ist unten zu sehen:

10:15:21.310878 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38256 > 10.10.10.16.443: S 3411497795:3411497795(0) win 29200 <mss 1460,sackOK,timestamp 2503046494 0,nop,wscale 7>
10:15:23.102826 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38244 > 10.10.10.16.443: S 3008273869:3008273869(0) win 29200 <mss 1460,sackOK,timestamp 2503046942 0,nop,wscale 7>
10:15:23.326801 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38256 > 10.10.10.16.443: S 3411497795:3411497795(0) win 29200 <mss 1460,sackOK,timestamp 2503046998 0,nop,wscale 7>
10:15:27.230802 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38244 > 10.10.10.16.443: S 3008273869:3008273869(0) win 29200 <mss 1460,sackOK,timestamp 2503047974 0,nop,wscale 7>
10:15:27.486804 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38256 > 10.10.10.16.443: S 3411497795:3411497795(0) win 29200 <mss 1460,sackOK,timestamp 2503048038 0,nop,wscale 7>
10:15:35.422853 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38244 > 10.10.10.16.443: S 3008273869:3008273869(0) win 29200 <mss 1460,sackOK,timestamp 2503050022 0,nop,wscale 7>
10:15:35.678797 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38256 > 10.10.10.16.443: S 3411497795:3411497795(0) win 29200 <mss 1460,sackOK,timestamp 2503050086 0,nop,wscale 7>
10:15:51.550815 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38244 > 10.10.10.16.443: S 3008273869:3008273869(0) win 29200 <mss 1460,sackOK,timestamp 2503054054 0,nop,wscale 7>
10:15:51.806784 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38256 > 10.10.10.16.443: S 3411497795:3411497795(0) win 29200 <mss 1460,sackOK,timestamp 2503054118 0,nop,wscale 7>
10:16:24.062769 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38256 > 10.10.10.16.443: S 3411497795:3411497795(0) win 29200 <mss 1460,sackOK,timestamp 2503062182 0,nop,wscale 7>
10:16:24.062832 00:11:25:8c:7a:1a > 1c:87:2c:5a:43:e2, ethertype IPv4 (0x0800), length 74: 10.10.10.16.443 > 10.10.10.160.38256: S 561747608:561747608(0) ack 3411497796 win 5792 <mss 1460,sackOK,timestamp 3558683637 2503062182,nop,wscale 2>
10:16:24.062843 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 74: 10.10.10.160.38244 > 10.10.10.16.443: S 3008273869:3008273869(0) win 29200 <mss 1460,sackOK,timestamp 2503062182 0,nop,wscale 7>
10:16:24.062860 00:11:25:8c:7a:1a > 1c:87:2c:5a:43:e2, ethertype IPv4 (0x0800), length 74: 10.10.10.16.443 > 10.10.10.160.38244: S 562554685:562554685(0) ack 3008273870 win 5792 <mss 1460,sackOK,timestamp 3558683637 2503062182,nop,wscale 2>
10:16:24.063075 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 66: 10.10.10.160.38256 > 10.10.10.16.443: . ack 1 win 229 <nop,nop,timestamp 2503062182 3558683637>
10:16:24.063116 00:19:e2:9e:df:f0 > 00:11:25:8c:7a:1a, ethertype IPv4 (0x0800), length 66: 10.10.10.160.38244 > 10.10.10.16.443: . ack 1 win 229 <nop,nop,timestamp 2503062182 3558683637>

Um ARP-bezogene Probleme auszuschließen, habe ich den statischen ARP-Eintrag für die Workstation auf dem Server installiert :

# ip neigh show 10.10.10.160                               
10.10.10.160 dev eth0 lladdr 1c:87:2c:5a:43:e2 PERMANENT                      
# 

Zu guter Letzt kann ich jederzeit 10.10.10.160 vom 10.10.10.16 anpingen. Zum Beispiel war ich den ganzen Tag while :; do ping -c 1 -I 10.10.10.16 10.10.10.160 &>/dev/null || date; sleep 2; doneauf dem Server und kein einziger Ping ist fehlgeschlagen.

Wenn ich schließlich das vom Client gesendete TCP-SYN-Paket mit 10:15:51.806784(empfange kein SYN + ACK vom Server ) mit 10:16:24.062769(empfange SYN + ACK vom Server ) in Wireshark vergleiche, sind sie mit Ausnahme der Prüfsummen identisch.

Außerdem ist die serverseitige Firewall so konfiguriert, dass die erste Regel der INPUT- Kette TCP-SYN-Pakete vom 10.10.10.160 ( iptables -I INPUT -s 10.10.10.160 -d 10.10.10.16 -p tcp --syn --dport 443 -j LOG) protokolliert und die zweite Regel den gesamten Datenverkehr vom 10.10.10.160 akzeptiert. Beispielsweise werden folgende Zeilen im Kernel-Ringpuffer protokolliert:

IN=eth0 OUT= MAC=00:11:25:8c:7a:1a:00:19:e2:9e:df:f0:08:00 SRC=10.10.10.160 DST=10.10.10.16 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=65477 DF PROTO=TCP SPT=40066 DPT=443 WINDOW=29200 RES=0x00 SYN URGP=0

Wie ich bereits sagte, werden sie in der nächsten Regel akzeptiert. Dies sollte alle tc/ netfilterverwandte Probleme ausschließen.

Andere Clients (z. B. 10.10.10.170) funktionieren einwandfrei.

Was könnte ein solches Verhalten verursachen?

Ich sehe hier ein großes Problem: Die Antworten von Ihrem Server gehen nicht denselben Weg wie die Pakete, die an ihn gesendet werden.

Ihre Workstation verwendet Ihren Router 10.10.10.190, um den Server über die Adresse 10.10.10.16/32 (/ 32? In Ihrer Zeichnung steht auch / 28) zu erreichen, anstatt die Adresse 10.10.10.148 zu verwenden, die sich im selben LAN-Segment wie der WS befindet .

Die TCP-Pakete, die vom Server zum WS gesendet werden, verwenden den Router jedoch nicht, da der Server den WS direkt erreichen kann.

Warum spielt es eine Rolle?

Die Folge ist, dass Ihr Router die Antworten von Ihrem Server nicht sieht und eine falsche Vorstellung vom Verbindungsstatus hat (obwohl der Server mit SYN + ACK geantwortet hat, befindet sich der Verbindungsstatus aus Sicht des Routers immer noch im anfänglichen SYN).

Wie die meisten heutigen Router blockiert es wahrscheinlich alle nachfolgenden TCP-Pakete, die vom WS zum Server gesendet werden, bis SYN + ACK vom Server erkannt wird (dies wird nicht passieren).

Daher besteht Ihr eigentliches Problem wahrscheinlich nicht darin, dass Ihr Server 60 Sekunden wartet, bevor er diese SYN + ACK sendet, sondern dass Ihr Router den TCP-Verkehr von Ihrem WS zum Server nach der anfänglichen SYN blockiert.

Warum dann diese Verkehrsmüllkippe?

Wenn meine Theorie richtig ist, täuscht der Verkehrsdump, den Sie in Ihrer Frage gepostet haben, weil wir nicht den vollständigen Dump haben:

• Der Server antwortet nicht auf SYN-Anforderungen, da er bereits auf die erste Antwort geantwortet hat und diese als Duplikate betrachtet werden
• Was Sie um 10: 16: 24.062769 und um 10: 16: 24.062860 sehen, ist wahrscheinlich, dass der Server seine SYN + ACK-Antwort nach einer bestimmten Verzögerung erneut sendet, ohne etwas vom WS zu erhalten

Wie kann man das beheben?

Sie haben mehrere Möglichkeiten:

• Erreichen Sie den Server direkt über seine 10.10.10.148 IP-Adresse (eigentlich kein Fix)
• Entfernen Sie diese 10.10.10.148 IP-Adresse vom Server (keine Option, denke ich)
• Deaktivieren Sie die Verbindungsverfolgung der Firewall auf dem Router (keine Option, denke ich, und sowieso nicht wünschenswert).
• Geben Sie die MAC-Adresse des Routers 00: 19: e2: 9e: df: f0 in die ARP-Tabelle des Servers für 10.10.10.160 ein (ein hässlicher Hack IMHO, und Sie werden ein anderes ähnliches Problem haben, wenn Sie den Server direkt über seine IP 10.10.10.148 erreichen Adresse, da die SYN-Pakete den Router nicht verwenden, die Antworten des Servers jedoch)
• Verwenden Sie das quellenbasierte Routing (Richtlinienrouting), um den Server anzuweisen, den Router zu verwenden, wenn die Quelladresse der ausgehenden Pakete 10.10.10.16 ist, unabhängig von der Zieladresse

Natürlich werden die Optionen angegeben, die eigentlich keine echten Optionen sind, damit Sie meine Theorie experimentieren und validieren können. Quellbasiertes Routing ist das, was Sie tun sollten.