小技巧:UUID

Cisco VPN Client 引起的诡异故障

roamin9 posted @ 2009年11月09日 05:41 in Tips with tags vpn 网页无法打开 wireshark ZoneLabs , 4377 阅读

    周末无事,想刷一下我的BB(黑莓),遂在Grub中选择了Windows XP,未曾想遇到了一个诡异的网络问题,记录如下。


 

    开机几分钟后,发现浏览器无法打开网页,无论是FF,Opera,还是Chrome,均返回“此网页无法打开”的提示,掉线?可眼光落到右下角,郭的QQ依然坚挺的Online……重启系统,又是几分钟的“生存期”后,网页无法显示,什么情况?

    难道中毒了?查看host文件,进程,都没有发现到可疑。想想自己平时很少使用winXP,也比较注意,于是把病毒的怀疑PASS掉。DNS的问题?打开“CMD”,ping了一下www.gentoo.org,成功返回IP,又尝试的ping了几个网站,都正常返回。想登上路由看看什么情况,发现连路由的页面都无法在浏览器中打开……

   

    感觉很诡异,胡思乱想间认为会不会是G-F-W把我们的外部IP给封掉了,导致我们访问任何网站都会被墙?呵,当然不会,它还顾不上我们,可谁让它那么XX呢,打不开网站习惯性的就想起它。好吧,分析一下,QQ正常,貌似UDP的通信是正常的。而无法打开网页,应该是在TCP协议的通信上出了问题。

    正好在XP中也装了Wireshark,那就打开抓个包看看:

                                                                图一:正常情况下,访问google时的通信

    DNS查询,返回,有来有往,正常的不能在正常了。在看看下副图:

 

                                                               图二:浏览器无法打开网页时,访问douban时的通信

 

    注意看序号为4160的内容,源地址为211.147.4.31,目的地址为209.87.208.60,我们竟然捕获到了“豆瓣”发给209.87.208.60这个目的地址的一条通信内容!看来,我们对“豆瓣”网站的请求,在“豆瓣”进行回应后,我们系统中的一个程序把回应进行了重定向,重定向到了209.87.208.60这个诡异的IP地址上。既然我们与网站之间没有进行正常的通信,网站的页面当然无法打开了!看来原因就在这里。

   

    但这个诡异的IP地址是什么呢?google了一下,原来这个IP属于zonelabs.com,查到了这个地址(Zone Labs Internet Security),据页面所说,你来到这里是有原因di(废话),“伟大”的ZoneAlarm检测到了你目前安装的Zone安全软件出现了问题,有可能是黑客所为,所以它就帮你把你的Internet访问全部阻断,并重定向到了这个页面……

    酱紫啊,可还有两个问题,一,为什么我显示的是“页面无法打开”,而不是重定向到zonelabs.com的提示网页?据我推测,应该和NAT有关,我是在一个路由的后面,请求被重定向到209.87.208.60后,却无法再找到“回来”的路,于是,页面就无法打开了。二,如果我确实使用了ZoneLabs的东西,没有认真看使用说明,发生这种情况我认了,可我压根就没装过任何ZoneLabs的软件呀!带着疑惑再次google,我找到了这个帖子,原来在Cisco VPN Client中使用了Zone的防火墙,而我确实安装了这么个东西,囧。

   

    至此,问题已经大致搞清,如果你也遇到了和我类似的遭遇,去这这看看解决办法吧。我也记下,免得以后被G-F-W。

    进入windows的安全模式,打开注册表,修改:HKEY_LOCAL_MACHINE\System\CurretControl\Set\Services\vsdatant 的值,改为3,保存,重启,Over~~

 

 

PS: Wireshark真是个好东西  :)

 

 

Avatar_small
tinncal 说:
2010年10月27日 17:47

man, you are my hero ,baidu search this ip 209.87.208.60 finding your blog,
thx a looooooot .


登录 *


loading captcha image...
(输入验证码)
or Ctrl+Enter