这是一个创建于 1480 天前的主题,其中的信息可能已经有所发展或是发生改变。
上礼拜还好好的,这礼拜开始一握手成功就直接发了个 RST 过来,换了端口也没用,看来是识别协议的。。。teamviewer 现在太渣,只能公网高位端口开服务,轻喷
第 1 条附言 · 2020-10-20 12:21:56 +08:00
最近网络环境比之前正常的时候就多加了一个京东云路由器,可能上传大了一点被盯上了。。当然现在收益也比上周低了好多
第 2 条附言 · 2020-10-20 16:23:36 +08:00
在客户端和服务端路由器上都抓了数据包,发现是中间人往两端都发送了 RST
第 3 条附言 · 2020-10-21 15:21:27 +08:00
重抓的结果如图,Seq=5674 Ack=5044 数据包不知道为什么重发了 1+3+2 次,服务端返回了 Seq=6484 Ack=7114 的 RST, ACK 数据包,最终客户端发出 ACK 与 RST 数据包断开连接。。
 |
1
wslzy007 2020-10-20 11:52:58 +08:00  2
试试 sg,拿走不谢
github.com/lazy-luo/smarGate |
 |
3
rund11 2020-10-20 12:11:55 +08:00 via Android
rdp 挺好解决的,有 rdp 端口修改工具,修改了也更安全
|
 |
5
elfive 2020-10-20 12:14:31 +08:00 via iPhone
湖南长沙,办公室前段时间突然不能用 RDP 了,因为本来就不是 3389 端口,所以怀疑是被识别攻击了,抓包显示是连接认证阶段直接收到 TCP RST 包。
奇怪的是,在公司买了向日葵服务后,RDP 又莫名其妙好了。 |
|
6
rund11 2020-10-20 12:15:34 +08:00 via Android
还能识别协议?这个真是蛋疼,投诉就完了
|
 |
7
sxbxjhwm OP @rund11 路由上做端口转发的,一开始用 59527,然后发现被 reset,换了 39526 还是被 reset
|
 |
8
terence4444 2020-10-20 12:24:07 +08:00 via iPhone
我也是上海电信,改了高位端口。刚才试了一下 iOS RD Client 连接没问题。
不过我是直接 IP 连接的,你用了 DDNS 吗? |
|
9
sxbxjhwm OP @terence4444 DDNS 和 IP 直连都试过,都 RST
|
|
10
terence4444 2020-10-20 13:11:53 +08:00 via iPhone
@sxbxjhwm 我感觉有可能是因为 ddns 被盯上的,去掉 ddns 换一个 ip 再试试?
|
 |
11
wtks1 2020-10-20 13:20:36 +08:00 via Android
同魔都电信,现在还在 rdp 回家....没发现问题啊
|
 |
12
FreeEx 2020-10-20 13:46:22 +08:00 via iPhone
比较好奇运营商是如何阻断一个已经建立的 tcp 连接的,有没有大神讲解一下?
|
 |
13
Ghonewyn 2020-10-20 14:02:02 +08:00
魔都电信+境外 ddns+高位端口,没遇到问题。
|
|
16
sxbxjhwm OP @terence4444 试过啦,重新拨号以后没用 ddns 用 zerotier 上报的 ip 连接,照样 reset
|
|
18
wtks1 2020-10-20 14:10:56 +08:00 via Android
@sxbxjhwm 要说上行流量的话,我这边也一直在跑 pt,迅雷的赚钱宝也一直挂着....不太可能比京东云那个流量小多少....
|
|
19
sxbxjhwm OP |
 |
20
xunandotme 2020-10-20 14:41:38 +08:00
参考 windows 共享的端口,可能一直都是被国内运营商封禁的吧,所以避过了先前的勒索病毒。现在扫描 rdp 来做新型勒索感染的又抬头了,所以也顺势封了。
|
 |
21
raysmond 2020-10-20 14:41:55 +08:00
用 ipv6
|
 |
22
Acoffice 2020-10-20 15:07:57 +08:00
- 如果你是光猫映射的,跟光猫型号有关系.
- 正常换光猫或者改桥接就好了. |
 |
24
LGA1150 2020-10-20 16:52:01 +08:00
https://github.com/LGA1150/netfilter-spooftcp
你会编译 OpenWrt 的话可以试下这个 |
 |
25
deorth 2020-10-20 17:33:47 +08:00
广州电信,同样情况。
公网 RDP 本来就不安全,现在靠外面套一层 v2ray 的 vmess 来用。也靠这种方法避免各种其它服务开放到公网 |
 |
26
domosekai 2020-10-20 18:04:43 +08:00
第一张图里的电信的 reset 包 ack 了一个 unseen 的包,或许可以解释为运营商先发了 reset
但你后两张图的 reset 包就是同一个,而且是客户端 192.168 主动发出的,和运营商无关 |
 |
27
boris93 2020-10-20 18:10:50 +08:00 via Android
我是在群晖上开了个 VPN
要 RDP 的话,先连 VPN 回家宽,然后内网 RDP |
 |
28
caola 2020-10-20 18:11:01 +08:00
改用 UDP 协议吧,HTTP/3 普及后,应该会是 UDP 的天下
|
|
29
wtks1 2020-10-20 18:38:06 +08:00 via Android
@caola 国内 udp 环境恶劣的难以言喻....之前我家路由器端口转发 rdp,开了 udp 转发,卡的宛如 ppt,还时常黑屏无法操作,关闭 udp 转发只留下 tcp,瞬间就恢复正常了
|
 |
30
v2tudnew 2020-10-20 19:21:35 +08:00
RDP 上 SSL 换个端口
|
 |
31
OldActorsSmile 2020-10-20 19:28:42 +08:00
楼主你图挂了还是国内加载不出来?给你推荐我做的图床:
https://imgbed.cn |
 |
32
Laitinlok 2020-10-20 20:18:45 +08:00 via Android
弄個 brdgrd, 將 TCP 封包拆小
|
 |
33
brotherlegend 2020-10-20 20:34:10 +08:00 via Android
@caola 打洞?
|
 |
34
dingdangnao 2020-10-20 20:39:52 +08:00 via iPhone
我也是上海电信 web rdp 都正常啊😂
|
|
37
sxbxjhwm OP |
 |
38
brMu 2020-10-21 06:05:56 +08:00 via Android
当然是先 ss 到家,再连各种服务了,AEAD 让各种协议识别见鬼去!
|
|
40
sxbxjhwm OP @domosekai 我重新抓了一次数据包,发现客户端一直在向服务端重发 TCP 数据包,wireshark 显示一串 TCP Retransmission,最后的 unseen segment 和 Dup ACK 都是服务端发回的,晚一点分析一下我上图
|
 |
41
cqcsdzmt 2020-10-21 16:04:46 +08:00
怕你做一些危害新时代社会主义的坏事
|
|
42
dingdangnao 2020-10-21 18:39:57 +08:00
@sxbxjhwm 不知道啊 从一开始他们讨论封 web 的事儿 我也没管,也一直没啥事儿。。可能我流量小?只是把群晖登录页挂上去了。。
|
|
43
sxbxjhwm OP @dingdangnao 我之前也是挂了个登录页。。用的四级域名做 ddns 然后被下了停机通知单。。实际没停机
|
|
44
OldActorsSmile 2020-10-21 22:22:09 +08:00
|
|
45
sxbxjhwm OP @OldActorsSmile imgur 的图床,v2ex 官方推荐的
|
 |
46
farmer01 2020-10-22 07:25:07 +08:00
魔幻
|
|
48
domosekai 2020-10-22 09:51:44 +08:00
客户端多次发送 5674 包,并请求 5044 包,服务器始终没有回应。但服务器下一个发出的包是 6484,也就是 6484-5044=1440 字节的一个包服务器认为自己发出了但你在两头的 LAN 抓包都没看到。而且从这个包 ACK7114 来看,服务端正常收到了客户端发出的第二波 PSH+ACK (这波的长度是 1440,和第一波 1031 不同,7114-5674=1440 ),那么有理由推断服务器也收到了第一波的 5674 包,但是回应不知什么原因消失了。
这应该是配置问题,不是电信的锅。如果可能请在服务端设备和网关上同时抓包,看那个消失的服务器发出的长度 1440 的包到底是怎么回事,同时不要只看 TCP 包,看一下有没有异常的 ICMP 包。1440 是以太网最大 MSS,有可能碰到 MTU 问题。 |
|
49
domosekai 2020-10-22 09:58:36 +08:00
说错了,以太网最大 MSS 是 1460,不过还是检查一下为什么大包发不出吧
|
|
50
sxbxjhwm OP |
|
51
domosekai 2020-10-22 13:22:18 +08:00
你的服务器不响应客户端的重传请求,而且是 LAN 口抓包的话,不可能和运营商有关啊,tcp 重传再正常不过了,完全不是问题
|
 |
54
ecapsul 2020-10-22 18:29:25 +08:00 via iPhone
不能开 web 真难受
|
 |
56
collo 2020-10-28 22:52:57 +08:00
@deorth #25 我现在也是公网 RDP,听你这么一说,确实心里毛毛的,v2 我基本上就在 chrome 里配合 switchyomega 用。
请教下怎么套 vmess ?讲下基本原理都行,我可以自己摸索。 |
|
57
deorth 2020-10-28 23:13:30 +08:00
@collo 服务端和你的 RDP 主机同一个内网,客户端配置文件加一个 inbound
{ "listen": "0.0.0.0", "protocol": "dokodemo-door", "port": 3389, "settings": { "address": "your.rdp.host.localip", "port": 3389, "network": "tcp", "timeout": 0 } }, 即可达到端口转发的效果,然后使用 mstsc 连接 v2ray 客户端监听的 3389 |
|
58
collo 2020-10-28 23:39:10 +08:00
@deorth #57 感谢大佬,v2 我都是用的机场,没有自建,看来要自己建个服务端才行,刚好内网有个 pve,明天摸索着建一个试试。
|
 |
59
MSIAM 2021-11-12 17:16:34 +08:00
我也是上海电信,在公网开着 3389 好长时间了,连接还蛮快的,没被掐过。不知道楼主什么原因。
|
Select Language