V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sxbxjhwm
V2EX  ›  宽带症候群

上海电信公网不让建 web 服务就算了,怎么连 RDP 都开始掐连接了?

  •  
  •   sxbxjhwm · 2020-10-20 11:31:07 +08:00 · 9844 次点击
    这是一个创建于 1480 天前的主题,其中的信息可能已经有所发展或是发生改变。
    上礼拜还好好的,这礼拜开始一握手成功就直接发了个 RST 过来,换了端口也没用,看来是识别协议的。。。teamviewer 现在太渣,只能公网高位端口开服务,轻喷
    第 1 条附言  ·  2020-10-20 12:21:56 +08:00
    最近网络环境比之前正常的时候就多加了一个京东云路由器,可能上传大了一点被盯上了。。当然现在收益也比上周低了好多
    第 2 条附言  ·  2020-10-20 16:23:36 +08:00
    在客户端和服务端路由器上都抓了数据包,发现是中间人往两端都发送了 RST
    第 3 条附言  ·  2020-10-21 15:21:27 +08:00
    重抓的结果如图,Seq=5674 Ack=5044 数据包不知道为什么重发了 1+3+2 次,服务端返回了 Seq=6484 Ack=7114 的 RST, ACK 数据包,最终客户端发出 ACK 与 RST 数据包断开连接。。

    60 条回复    2021-12-02 21:50:21 +08:00
    wslzy007
        1
    wslzy007  
       2020-10-20 11:52:58 +08:00   ❤️ 2
    试试 sg,拿走不谢
    github.com/lazy-luo/smarGate
    sxbxjhwm
        2
    sxbxjhwm  
    OP
       2020-10-20 11:56:27 +08:00
    @wslzy007 在用 zerotier 了
    rund11
        3
    rund11  
       2020-10-20 12:11:55 +08:00 via Android
    rdp 挺好解决的,有 rdp 端口修改工具,修改了也更安全
    weyou
        4
    weyou  
       2020-10-20 12:13:19 +08:00
    @rund11 楼主的已经改了
    elfive
        5
    elfive  
       2020-10-20 12:14:31 +08:00 via iPhone
    湖南长沙,办公室前段时间突然不能用 RDP 了,因为本来就不是 3389 端口,所以怀疑是被识别攻击了,抓包显示是连接认证阶段直接收到 TCP RST 包。
    奇怪的是,在公司买了向日葵服务后,RDP 又莫名其妙好了。
    rund11
        6
    rund11  
       2020-10-20 12:15:34 +08:00 via Android
    还能识别协议?这个真是蛋疼,投诉就完了
    sxbxjhwm
        7
    sxbxjhwm  
    OP
       2020-10-20 12:17:23 +08:00
    @rund11 路由上做端口转发的,一开始用 59527,然后发现被 reset,换了 39526 还是被 reset
    terence4444
        8
    terence4444  
       2020-10-20 12:24:07 +08:00 via iPhone
    我也是上海电信,改了高位端口。刚才试了一下 iOS RD Client 连接没问题。
    不过我是直接 IP 连接的,你用了 DDNS 吗?
    sxbxjhwm
        9
    sxbxjhwm  
    OP
       2020-10-20 12:27:33 +08:00
    @terence4444 DDNS 和 IP 直连都试过,都 RST
    terence4444
        10
    terence4444  
       2020-10-20 13:11:53 +08:00 via iPhone
    @sxbxjhwm 我感觉有可能是因为 ddns 被盯上的,去掉 ddns 换一个 ip 再试试?
    wtks1
        11
    wtks1  
       2020-10-20 13:20:36 +08:00 via Android
    同魔都电信,现在还在 rdp 回家....没发现问题啊
    FreeEx
        12
    FreeEx  
       2020-10-20 13:46:22 +08:00 via iPhone
    比较好奇运营商是如何阻断一个已经建立的 tcp 连接的,有没有大神讲解一下?
    Ghonewyn
        13
    Ghonewyn  
       2020-10-20 14:02:02 +08:00
    魔都电信+境外 ddns+高位端口,没遇到问题。
    sxbxjhwm
        14
    sxbxjhwm  
    OP
       2020-10-20 14:05:42 +08:00
    @FreeEx 运营商防火墙往客户端发个 RST 包,服务端那边我就不知道发的啥了
    sxbxjhwm
        15
    sxbxjhwm  
    OP
       2020-10-20 14:06:36 +08:00
    @wtks1 @Ghonewyn 可能我这边上行流量比较大。。京东云干的
    sxbxjhwm
        16
    sxbxjhwm  
    OP
       2020-10-20 14:07:45 +08:00
    @terence4444 试过啦,重新拨号以后没用 ddns 用 zerotier 上报的 ip 连接,照样 reset
    Ghonewyn
        17
    Ghonewyn  
       2020-10-20 14:10:08 +08:00
    @sxbxjhwm #15 我挂 pt 的,常年固定端口,几 T 几 T 的传的。。。
    wtks1
        18
    wtks1  
       2020-10-20 14:10:56 +08:00 via Android
    @sxbxjhwm 要说上行流量的话,我这边也一直在跑 pt,迅雷的赚钱宝也一直挂着....不太可能比京东云那个流量小多少....
    sxbxjhwm
        19
    sxbxjhwm  
    OP
       2020-10-20 14:22:56 +08:00
    @wtks1 @Ghonewyn 不太懂了。。反正客户端这我拿两个设备用不同网络测过,都是被 reset,所以只能是电信这边问题。。
    xunandotme
        20
    xunandotme  
       2020-10-20 14:41:38 +08:00
    参考 windows 共享的端口,可能一直都是被国内运营商封禁的吧,所以避过了先前的勒索病毒。现在扫描 rdp 来做新型勒索感染的又抬头了,所以也顺势封了。
    raysmond
        21
    raysmond  
       2020-10-20 14:41:55 +08:00
    用 ipv6
    Acoffice
        22
    Acoffice  
       2020-10-20 15:07:57 +08:00
    - 如果你是光猫映射的,跟光猫型号有关系.
    - 正常换光猫或者改桥接就好了.
    sxbxjhwm
        23
    sxbxjhwm  
    OP
       2020-10-20 15:10:59 +08:00
    @Acoffice 光猫桥接的,自己换的 HG8245C2
    LGA1150
        24
    LGA1150  
       2020-10-20 16:52:01 +08:00
    https://github.com/LGA1150/netfilter-spooftcp
    你会编译 OpenWrt 的话可以试下这个
    deorth
        25
    deorth  
       2020-10-20 17:33:47 +08:00
    广州电信,同样情况。
    公网 RDP 本来就不安全,现在靠外面套一层 v2ray 的 vmess 来用。也靠这种方法避免各种其它服务开放到公网
    domosekai
        26
    domosekai  
       2020-10-20 18:04:43 +08:00
    第一张图里的电信的 reset 包 ack 了一个 unseen 的包,或许可以解释为运营商先发了 reset
    但你后两张图的 reset 包就是同一个,而且是客户端 192.168 主动发出的,和运营商无关
    boris93
        27
    boris93  
       2020-10-20 18:10:50 +08:00 via Android
    我是在群晖上开了个 VPN
    要 RDP 的话,先连 VPN 回家宽,然后内网 RDP
    caola
        28
    caola  
       2020-10-20 18:11:01 +08:00
    改用 UDP 协议吧,HTTP/3 普及后,应该会是 UDP 的天下
    wtks1
        29
    wtks1  
       2020-10-20 18:38:06 +08:00 via Android
    @caola 国内 udp 环境恶劣的难以言喻....之前我家路由器端口转发 rdp,开了 udp 转发,卡的宛如 ppt,还时常黑屏无法操作,关闭 udp 转发只留下 tcp,瞬间就恢复正常了
    v2tudnew
        30
    v2tudnew  
       2020-10-20 19:21:35 +08:00
    RDP 上 SSL 换个端口
    OldActorsSmile
        31
    OldActorsSmile  
       2020-10-20 19:28:42 +08:00
    楼主你图挂了还是国内加载不出来?给你推荐我做的图床:
    https://imgbed.cn
    Laitinlok
        32
    Laitinlok  
       2020-10-20 20:18:45 +08:00 via Android
    弄個 brdgrd, 將 TCP 封包拆小
    brotherlegend
        33
    brotherlegend  
       2020-10-20 20:34:10 +08:00 via Android
    @caola 打洞?
    dingdangnao
        34
    dingdangnao  
       2020-10-20 20:39:52 +08:00 via iPhone
    我也是上海电信 web rdp 都正常啊😂
    leeyuky
        35
    leeyuky  
       2020-10-20 22:17:41 +08:00
    @wtks1 想请教为什么 udp 环境这么恶劣,是设备原因,技术原因,还是人文有意劣化,如果是劣化的原因又是啥呢
    sxbxjhwm
        36
    sxbxjhwm  
    OP
       2020-10-20 22:41:16 +08:00
    @domosekai 第二张图过滤了点无用包然后保存的,可能漏了
    sxbxjhwm
        37
    sxbxjhwm  
    OP
       2020-10-20 22:42:54 +08:00
    @OldActorsSmile imgur 的

    @dingdangnao web 都敢直接开。。不怕被下停机通知单嘛
    brMu
        38
    brMu  
       2020-10-21 06:05:56 +08:00 via Android
    当然是先 ss 到家,再连各种服务了,AEAD 让各种协议识别见鬼去!
    alfawei
        39
    alfawei  
       2020-10-21 06:40:28 +08:00 via iPhone
    @boris93 群晖的 VPN 端口无法开启 500,1701 等端口开不了,联通江苏
    sxbxjhwm
        40
    sxbxjhwm  
    OP
       2020-10-21 08:48:56 +08:00 via Android
    @domosekai 我重新抓了一次数据包,发现客户端一直在向服务端重发 TCP 数据包,wireshark 显示一串 TCP Retransmission,最后的 unseen segment 和 Dup ACK 都是服务端发回的,晚一点分析一下我上图
    cqcsdzmt
        41
    cqcsdzmt  
       2020-10-21 16:04:46 +08:00
    怕你做一些危害新时代社会主义的坏事
    dingdangnao
        42
    dingdangnao  
       2020-10-21 18:39:57 +08:00
    @sxbxjhwm 不知道啊 从一开始他们讨论封 web 的事儿 我也没管,也一直没啥事儿。。可能我流量小?只是把群晖登录页挂上去了。。
    sxbxjhwm
        43
    sxbxjhwm  
    OP
       2020-10-21 19:32:20 +08:00 via Android
    @dingdangnao 我之前也是挂了个登录页。。用的四级域名做 ddns 然后被下了停机通知单。。实际没停机
    OldActorsSmile
        44
    OldActorsSmile  
       2020-10-21 22:22:09 +08:00
    @sxbxjhwm

    翻墙才能看到主楼的图
    sxbxjhwm
        45
    sxbxjhwm  
    OP
       2020-10-21 23:51:59 +08:00
    @OldActorsSmile imgur 的图床,v2ex 官方推荐的
    farmer01
        46
    farmer01  
       2020-10-22 07:25:07 +08:00
    魔幻
    txydhr
        47
    txydhr  
       2020-10-22 08:55:39 +08:00 via iPhone
    @sxbxjhwm 什么时候的事,疫情以后么?
    domosekai
        48
    domosekai  
       2020-10-22 09:51:44 +08:00
    客户端多次发送 5674 包,并请求 5044 包,服务器始终没有回应。但服务器下一个发出的包是 6484,也就是 6484-5044=1440 字节的一个包服务器认为自己发出了但你在两头的 LAN 抓包都没看到。而且从这个包 ACK7114 来看,服务端正常收到了客户端发出的第二波 PSH+ACK (这波的长度是 1440,和第一波 1031 不同,7114-5674=1440 ),那么有理由推断服务器也收到了第一波的 5674 包,但是回应不知什么原因消失了。
    这应该是配置问题,不是电信的锅。如果可能请在服务端设备和网关上同时抓包,看那个消失的服务器发出的长度 1440 的包到底是怎么回事,同时不要只看 TCP 包,看一下有没有异常的 ICMP 包。1440 是以太网最大 MSS,有可能碰到 MTU 问题。
    domosekai
        49
    domosekai  
       2020-10-22 09:58:36 +08:00
    说错了,以太网最大 MSS 是 1460,不过还是检查一下为什么大包发不出吧
    sxbxjhwm
        50
    sxbxjhwm  
    OP
       2020-10-22 11:32:52 +08:00 via Android
    @domosekai 服务端的网络设备没有更换过,客户端使用了两台设备在两个网络下都出现相同情况,上周之前都是正常的。另外其他应用也都是正常的,比如 zerotier 和某 r,问题是突然出现的,抓包也是在网关上用 tcpdump 抓的。另外也有人和我反馈说最近上海电信经常有 tcp retransmission 的情况,所以怀疑是电信问题。


    @txydhr 本周一开始的
    domosekai
        51
    domosekai  
       2020-10-22 13:22:18 +08:00
    你的服务器不响应客户端的重传请求,而且是 LAN 口抓包的话,不可能和运营商有关啊,tcp 重传再正常不过了,完全不是问题
    sxbxjhwm
        52
    sxbxjhwm  
    OP
       2020-10-22 15:21:53 +08:00
    @domosekai 诡异的是套了层代理就一切正常。。。
    txydhr
        53
    txydhr  
       2020-10-22 15:54:25 +08:00
    @sxbxjhwm 啊,我问的是 web 被警告是啥时候的事情。。。
    ecapsul
        54
    ecapsul  
       2020-10-22 18:29:25 +08:00 via iPhone
    不能开 web 真难受
    sxbxjhwm
        55
    sxbxjhwm  
    OP
       2020-10-22 19:54:38 +08:00 via Android
    @txydhr 年初的事情,直接通知单往窗户里塞
    collo
        56
    collo  
       2020-10-28 22:52:57 +08:00
    @deorth #25 我现在也是公网 RDP,听你这么一说,确实心里毛毛的,v2 我基本上就在 chrome 里配合 switchyomega 用。

    请教下怎么套 vmess ?讲下基本原理都行,我可以自己摸索。
    deorth
        57
    deorth  
       2020-10-28 23:13:30 +08:00
    @collo 服务端和你的 RDP 主机同一个内网,客户端配置文件加一个 inbound
    {
    "listen": "0.0.0.0",
    "protocol": "dokodemo-door",
    "port": 3389,
    "settings": {
    "address": "your.rdp.host.localip",
    "port": 3389,
    "network": "tcp",
    "timeout": 0
    }
    },
    即可达到端口转发的效果,然后使用 mstsc 连接 v2ray 客户端监听的 3389
    collo
        58
    collo  
       2020-10-28 23:39:10 +08:00
    @deorth #57 感谢大佬,v2 我都是用的机场,没有自建,看来要自己建个服务端才行,刚好内网有个 pve,明天摸索着建一个试试。
    MSIAM
        59
    MSIAM  
       2021-11-12 17:16:34 +08:00
    我也是上海电信,在公网开着 3389 好长时间了,连接还蛮快的,没被掐过。不知道楼主什么原因。
    sxbxjhwm
        60
    sxbxjhwm  
    OP
       2021-12-02 21:50:21 +08:00
    @MSIAM 可能是非标端口的 TLS 通讯?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   940 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:42 · PVG 04:42 · LAX 12:42 · JFK 15:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.