上海电信公网不让建 web 服务就算了，怎么连 RDP 都开始掐连接了？

This topic created in 2045 days ago, the information mentioned may be changed or developed.

上礼拜还好好的，这礼拜开始一握手成功就直接发了个 RST 过来，换了端口也没用，看来是识别协议的。。。teamviewer 现在太渣，只能公网高位端口开服务，轻喷

Supplement 1 · Oct 20, 2020

最近网络环境比之前正常的时候就多加了一个京东云路由器，可能上传大了一点被盯上了。。当然现在收益也比上周低了好多

Supplement 2 · Oct 20, 2020

在客户端和服务端路由器上都抓了数据包，发现是中间人往两端都发送了 RST

Supplement 3 · Oct 21, 2020

重抓的结果如图，Seq=5674 Ack=5044 数据包不知道为什么重发了 1+3+2 次，服务端返回了 Seq=6484 Ack=7114 的 RST, ACK 数据包，最终客户端发出 ACK 与 RST 数据包断开连接。。

公网

礼拜

太渣

rst

60 replies • 2021-12-02 21:50:21 +08:00

wslzy007

Oct 20, 2020

试试 sg，拿走不谢
github.com/lazy-luo/smarGate

sxbxjhwm

Oct 20, 2020

@wslzy007 在用 zerotier 了

rund11

Oct 20, 2020 via Android

rdp 挺好解决的，有 rdp 端口修改工具，修改了也更安全

weyou

Oct 20, 2020

@rund11 楼主的已经改了

elfive

Oct 20, 2020 via iPhone

湖南长沙，办公室前段时间突然不能用 RDP 了，因为本来就不是 3389 端口，所以怀疑是被识别攻击了，抓包显示是连接认证阶段直接收到 TCP RST 包。
奇怪的是，在公司买了向日葵服务后，RDP 又莫名其妙好了。

rund11

Oct 20, 2020 via Android

还能识别协议？这个真是蛋疼，投诉就完了

sxbxjhwm

Oct 20, 2020

@rund11 路由上做端口转发的，一开始用 59527，然后发现被 reset，换了 39526 还是被 reset

terence4444

Oct 20, 2020 via iPhone

我也是上海电信，改了高位端口。刚才试了一下 iOS RD Client 连接没问题。
不过我是直接 IP 连接的，你用了 DDNS 吗？

sxbxjhwm

Oct 20, 2020

@terence4444 DDNS 和 IP 直连都试过，都 RST

terence4444

Oct 20, 2020 via iPhone

@sxbxjhwm 我感觉有可能是因为 ddns 被盯上的，去掉 ddns 换一个 ip 再试试？

wtks1

Oct 20, 2020 via Android

同魔都电信，现在还在 rdp 回家....没发现问题啊

dushixiang

Oct 20, 2020 via iPhone

比较好奇运营商是如何阻断一个已经建立的 tcp 连接的，有没有大神讲解一下？

AokiHina

Oct 20, 2020

魔都电信+境外 ddns+高位端口，没遇到问题。

sxbxjhwm

Oct 20, 2020

@FreeEx 运营商防火墙往客户端发个 RST 包，服务端那边我就不知道发的啥了

sxbxjhwm

Oct 20, 2020

@wtks1 @Ghonewyn 可能我这边上行流量比较大。。京东云干的

sxbxjhwm

Oct 20, 2020

@terence4444 试过啦，重新拨号以后没用 ddns 用 zerotier 上报的 ip 连接，照样 reset

AokiHina

Oct 20, 2020

@sxbxjhwm #15 我挂 pt 的，常年固定端口，几 T 几 T 的传的。。。

wtks1

Oct 20, 2020 via Android

@sxbxjhwm 要说上行流量的话，我这边也一直在跑 pt，迅雷的赚钱宝也一直挂着....不太可能比京东云那个流量小多少....

sxbxjhwm

Oct 20, 2020

@wtks1 @Ghonewyn 不太懂了。。反正客户端这我拿两个设备用不同网络测过，都是被 reset，所以只能是电信这边问题。。

xnplus

Oct 20, 2020

参考 windows 共享的端口，可能一直都是被国内运营商封禁的吧，所以避过了先前的勒索病毒。现在扫描 rdp 来做新型勒索感染的又抬头了，所以也顺势封了。

raysmond

Oct 20, 2020

用 ipv6

Acoffice

Oct 20, 2020

- 如果你是光猫映射的,跟光猫型号有关系.
- 正常换光猫或者改桥接就好了.

sxbxjhwm

Oct 20, 2020

@Acoffice 光猫桥接的，自己换的 HG8245C2

LGA1150

Oct 20, 2020

https://github.com/LGA1150/netfilter-spooftcp
你会编译 OpenWrt 的话可以试下这个

deorth

Oct 20, 2020

广州电信，同样情况。
公网 RDP 本来就不安全，现在靠外面套一层 v2ray 的 vmess 来用。也靠这种方法避免各种其它服务开放到公网

domosekai

Oct 20, 2020

第一张图里的电信的 reset 包 ack 了一个 unseen 的包，或许可以解释为运营商先发了 reset
但你后两张图的 reset 包就是同一个，而且是客户端 192.168 主动发出的，和运营商无关

boris93

Oct 20, 2020 via Android

我是在群晖上开了个 VPN
要 RDP 的话，先连 VPN 回家宽，然后内网 RDP

caola

Oct 20, 2020

改用 UDP 协议吧，HTTP/3 普及后，应该会是 UDP 的天下

wtks1

Oct 20, 2020 via Android

@caola 国内 udp 环境恶劣的难以言喻....之前我家路由器端口转发 rdp，开了 udp 转发，卡的宛如 ppt，还时常黑屏无法操作，关闭 udp 转发只留下 tcp，瞬间就恢复正常了

Overfill3641

Oct 20, 2020

RDP 上 SSL 换个端口

OldActorsSmile

Oct 20, 2020

楼主你图挂了还是国内加载不出来？给你推荐我做的图床：
https://imgbed.cn

Laitinlok

Oct 20, 2020 via Android

弄個 brdgrd, 將 TCP 封包拆小

brotherlegend

Oct 20, 2020 via Android

@caola 打洞？

dingdangnao

Oct 20, 2020 via iPhone

我也是上海电信 web rdp 都正常啊😂

leeyuky

Oct 20, 2020

@wtks1 想请教为什么 udp 环境这么恶劣，是设备原因，技术原因，还是人文有意劣化，如果是劣化的原因又是啥呢

sxbxjhwm

Oct 20, 2020

@domosekai 第二张图过滤了点无用包然后保存的，可能漏了

sxbxjhwm

Oct 20, 2020

@OldActorsSmile imgur 的

@dingdangnao web 都敢直接开。。不怕被下停机通知单嘛

brMu

Oct 21, 2020 via Android

当然是先 ss 到家，再连各种服务了，AEAD 让各种协议识别见鬼去！

alfawei

Oct 21, 2020 via iPhone

@boris93 群晖的 VPN 端口无法开启 500，1701 等端口开不了，联通江苏

sxbxjhwm

Oct 21, 2020 via Android

@domosekai 我重新抓了一次数据包，发现客户端一直在向服务端重发 TCP 数据包，wireshark 显示一串 TCP Retransmission，最后的 unseen segment 和 Dup ACK 都是服务端发回的，晚一点分析一下我上图

cqcsdzmt

Oct 21, 2020

怕你做一些危害新时代社会主义的坏事

dingdangnao

Oct 21, 2020

@sxbxjhwm 不知道啊从一开始他们讨论封 web 的事儿我也没管，也一直没啥事儿。。可能我流量小？只是把群晖登录页挂上去了。。

sxbxjhwm

Oct 21, 2020 via Android

@dingdangnao 我之前也是挂了个登录页。。用的四级域名做 ddns 然后被下了停机通知单。。实际没停机

OldActorsSmile

Oct 21, 2020

@sxbxjhwm

翻墙才能看到主楼的图

sxbxjhwm

Oct 21, 2020

@OldActorsSmile imgur 的图床，v2ex 官方推荐的

farmer01

Oct 22, 2020

魔幻

txydhr

Oct 22, 2020 via iPhone

@sxbxjhwm 什么时候的事，疫情以后么？

domosekai

Oct 22, 2020

客户端多次发送 5674 包，并请求 5044 包，服务器始终没有回应。但服务器下一个发出的包是 6484，也就是 6484-5044=1440 字节的一个包服务器认为自己发出了但你在两头的 LAN 抓包都没看到。而且从这个包 ACK7114 来看，服务端正常收到了客户端发出的第二波 PSH+ACK （这波的长度是 1440，和第一波 1031 不同，7114-5674=1440 ），那么有理由推断服务器也收到了第一波的 5674 包，但是回应不知什么原因消失了。
这应该是配置问题，不是电信的锅。如果可能请在服务端设备和网关上同时抓包，看那个消失的服务器发出的长度 1440 的包到底是怎么回事，同时不要只看 TCP 包，看一下有没有异常的 ICMP 包。1440 是以太网最大 MSS，有可能碰到 MTU 问题。

domosekai

Oct 22, 2020

说错了，以太网最大 MSS 是 1460，不过还是检查一下为什么大包发不出吧

sxbxjhwm

Oct 22, 2020 via Android

@domosekai 服务端的网络设备没有更换过，客户端使用了两台设备在两个网络下都出现相同情况，上周之前都是正常的。另外其他应用也都是正常的，比如 zerotier 和某 r，问题是突然出现的，抓包也是在网关上用 tcpdump 抓的。另外也有人和我反馈说最近上海电信经常有 tcp retransmission 的情况，所以怀疑是电信问题。

@txydhr 本周一开始的

domosekai

Oct 22, 2020

你的服务器不响应客户端的重传请求，而且是 LAN 口抓包的话，不可能和运营商有关啊，tcp 重传再正常不过了，完全不是问题

sxbxjhwm

Oct 22, 2020

@domosekai 诡异的是套了层代理就一切正常。。。

txydhr

Oct 22, 2020

@sxbxjhwm 啊，我问的是 web 被警告是啥时候的事情。。。

ecapsul

Oct 22, 2020 via iPhone

不能开 web 真难受

sxbxjhwm

Oct 22, 2020 via Android

@txydhr 年初的事情，直接通知单往窗户里塞

collo

Oct 28, 2020

@deorth #25 我现在也是公网 RDP，听你这么一说，确实心里毛毛的，v2 我基本上就在 chrome 里配合 switchyomega 用。

请教下怎么套 vmess ？讲下基本原理都行，我可以自己摸索。

deorth

Oct 28, 2020

@collo 服务端和你的 RDP 主机同一个内网，客户端配置文件加一个 inbound
{
"listen": "0.0.0.0",
"protocol": "dokodemo-door",
"port": 3389,
"settings": {
"address": "your.rdp.host.localip",
"port": 3389,
"network": "tcp",
"timeout": 0
}
},
即可达到端口转发的效果，然后使用 mstsc 连接 v2ray 客户端监听的 3389

collo

Oct 28, 2020

@deorth #57 感谢大佬，v2 我都是用的机场，没有自建，看来要自己建个服务端才行，刚好内网有个 pve，明天摸索着建一个试试。

MSIAM

Nov 12, 2021

我也是上海电信，在公网开着 3389 好长时间了，连接还蛮快的，没被掐过。不知道楼主什么原因。

sxbxjhwm

Dec 2, 2021

@MSIAM 可能是非标端口的 TLS 通讯？