谁能指出我的 802.11n 范围扩展器？

Question

divB

Asked: 2025-01-13 15:01:09 +0800 CST2025-01-13 15:01:09 +0800 CST 2025-01-13 15:01:09 +0800 CST

为什么 SSL 握手会由于 MTU 较小而失败？

772

我与服务器 (owner-api.teslamotors.com) 建立了 SSL 连接，该连接通过 wget、curl 或 openssl s_client 挂起。我展示的是 curl 版本，因为它提供了最多的调试消息：

# curl -iv https://owner-api.teslamotors.com 
*   Trying 18.203.70.200:443...
* Connected to owner-api.teslamotors.com (18.203.70.200) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs

ClientHello 之后它就挂起了。TCP 连接已成功建立（也已通过 telnet/nc 确认）。其他网络连接（包括我尝试过的任何 SSL 连接）都可以正常工作。除了owner-api.teslamotors.com:443。

我发现这个帖子谈论的是 MTU，听起来有些牵强。但我减少了服务器 MTU，它就起作用了！它适用于任何 <= 1420 的 MTU。

服务器使用以太网 (MTU 1500) 连接到 Mikrotik 路由器，然后从那里通过 WireGuard 隧道 (MTU 1420)。我知道这可能不是最佳选择，因为来自服务器 >1420 的任何 IP 数据包都需要分段。但是，这与任何 L4 协议无关。TCP 上的 SSL 不应该关心分段和 MTU。然而，这个主机关心。

我在 Mikrotik 盒子上运行了数据包捕获，流量没有列出任何异常：

典型的 TCP 握手是第 1-3 次，然后是 ClientHello（第 4-5 次）和 ServerHello（第 6-7 次）。没有数据包大小接近 MTU，也没有其他 ICMP 消息表明存在碎片等问题。

根据评论，以下是 tracepath 输出：

# tracepath owner-api.teslamotors.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  XX.XX.56.210                                          0.410ms 
 1:  XX.XX.56.210                                          0.198ms 
 2:  XX.XX.56.210                                          0.138ms pmtu 1420
 2:  XX.XX.56.185                                        151.394ms 
 3:  no reply
 4:  100.100.200.1                                       157.220ms 
 5:  10.75.0.193                                         154.068ms 
 6:  10.75.2.53                                          161.950ms asymm  7 
 7:  decix1.amazon.com                                   152.107ms asymm  8 
 8:  decix2.amazon.com                                   153.068ms 
 9:  no reply
 [...]

我真的不知道这里到底发生了什么。

为什么这个 SSL 连接失败？

2 个回答

Voted

grawity · Answer 1 · 2025-01-14T04:01:31+08:00

我知道这可能不是最佳选择，因为来自服务器 >1420 的任何 IP 数据包都需要分段。

问题的核心是服务器不知道这样的数据包需要分片。

典型的 TCP 握手次数为 1-3，然后是 ClientHello（次数为 4-5）和 ServerHello（次数为 6-7）。没有数据包大小接近 MTU，也没有其他 ICMP 消息表明存在碎片等问题。

有一些大数据包（例如Certificate来自服务器⁴的 TLS 消息），但您的捕获看不到它们，因为它们大于您的 MTU，所以它们永远不会到达您的终端。这实际上是问题所在；如果这些数据包到达您的网络接口（这样它们在数据包捕获中可见），那么连接就不会挂起。

捕获需要在隧道的“上游”端进行，具体来说，是在“低 MTU”接口前一步的入口接口上进行。因此，如果路径是“互联网 → 服务器 eth0 ⇒ 服务器 wg0 → 客户端 wg-foo ⇒ 客户端 ether1”，那么大数据包将在“服务器 eth0”上可见，但无法放入“服务器 wg0”中。因此，在 wg0 上捕获不会给您带来任何结果，但在 eth0 上捕获可能会显示一系列：

you --> VPS --> API   TCP SYN
    <--     <--       TCP ACK
    -->     -->       small packet
    <--     <--       small packet
           X<--       big packet
            -->       ICMP frag needed
           X<--       big packet
            -->       ICMP frag needed
           X<--       big packet
            -->       ICMP frag needed
            ...

（请注意，硬件接收卸载可能会产生令人困惑的结果，因为您的以太网网卡可能会将各段合并为一个超级数据包，例如在终端主机本身上捕获时。如果您看到大小超过 2kB 的数据包，则可能需要ethtool -K eth0 gso off gro off在捕获期间这样做。）

如果我减少客户端的 MTU 会有什么帮助？

在 TCP 握手期间，客户端（实际上是两个对等体）声明其可以接收的 TCP MSS（最大 TCP 段大小）。由于客户端通常拥有无限内存¹并且不限于小段，因此它实际上提供最大的 MSS，该 MSS 是它计算出的对于其已知的 MTU 而言最佳的 MSS，以避免需要进行 IP 级分段。

例如，如果您的以太网接口的 MTU 为 1500，那么您的操作系统可能会提供 1460 的 MSS，它恰好适合 IP 有效负载（假设 IPv4 开销为 20，TCP 开销再次为 20，这是最简单的情况）。

因此，降低客户端网络接口的 MTU 将导致它预先声明一个较小的可接受的 TCP 段大小，这会导致服务器始终发送较小的 IP 数据包（即保持在需要分段的限制以下），就像你减少了服务器的 MTU 一样。

同时，使用默认的 1500 MTU，服务器将以大型 IP 数据包的形式发送大型段，直到它从您的 ISP 网关（具有低 MTU 链接并且无法将这些数据包转发给您的网关）收到 ICMP“需要分段”；然后服务器将记录到您的新 PMTU 并开始在 IP 级别发送分段的段^。5

但是，如果任何防火墙阻止³ ICMP 错误到达服务器，这种情况就不会发生，服务器将永远尝试在同一个大型 IP 数据包中发送该 TCP 段。（或者，如果服务器位于某种类型的防火墙后面，^该防火墙会重新组装和重新分段通过它的所有 IP 数据包，那么它可能正确地分段了数据包，但防火墙可能会撤消其所有工作。）

网关（例如带有 nftables/iptables 的 Linux）通常具有修补通过它们的 TCP 握手的通告 MSS 的功能，以适合网关知道的 MTU ，例如当客户端位于 1500 字节 MTU 以太网上但网关即将通过 1420 字节 MTU PPPoE 隧道转发数据包时：

tcp 标志 syn tcp 选项 maxseg 大小设置 rt mtu

/ip/firewall/mangle/add chain=forward out-interface=wg-foo-bar \
  协议=tcp tcp-flags=syn 动作=change-mss new-mss=clamp-to-pmtu \ 
  passthrough=yes

但是，这与任何 L4 协议无关。TCP 上的 SSL 不应该关心碎片和 MTU。

如果我的理解正确，TCP 必须关心 MTU，因为依赖 IP 碎片会降低 TCP 重传的效率——即使只有一个碎片“丢失”，那么整个 IP 数据包就会“丢失”，并且不会有任何碎片被传送到上层协议。

例如，如果 TCP 发送了一个 64k 的段，该段被分割成 45 个 IP 数据报，并且其中一个丢失，那么在 ICMP“重组时间已超出”之后，所有 IP 数据报都需要重新传输。（这是假设分段完全有效，但正如您所见，有时它不起作用^。3）

而将相同的 64k 数据分成适合 IP MTU 的 TCP 段后，其他 44 个 IP 数据包仍将传送到接收方的 TCP 层并进行 SACK，只有丢失的数据包才需要重新传输（我认为这甚至可能在服务器收到指示漏洞的 SACK 后立即发生，而不是长时间的重组超时）。

⁴使用 TLSv1.2 时，“证书”消息可以清晰显示，但使用 TLSv1.3 时会加密，因此捕获时只会将其视为“应用程序数据”。

¹大多数开发人员都是这么认为的。

²例如 Untangle 的默认“brouting”模式。

³也称为“PMTUD 黑洞”。请参阅 Cloudflare 博客文章 #1、#2和#3，了解一种情况，这种情况发生的原因并非系统管理员全面阻止 ICMP。

⁵我实际上不知道它是否在 IP 级别对相同的段进行分段，或者它是否也降低了该连接的 TCP MSS。实际上可能是后者。

Ángel · Answer 2 · 2025-01-14T10:48:55+08:00

正如另一个答案所解释的那样，它挂起的原因是因为服务器回复大于 MTU并且ICMP 错误没有到达服务器。

之所以只发生在这个服务器上，是因为它是目前唯一一个发送这么大回复的服务器。

如果我卷曲https://owner-api.teslamotors.com

5   0.013509631 203.0.113.16    18.203.70.200   TCP 66  51606 → 443 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 WS=64
6   0.057231368 18.203.70.200   203.0.113.16    TCP 66  443 → 51606 [SYN, ACK] Seq=0 Ack=1 Win=62377 Len=0 MSS=1452 SACK_PERM=1 WS=128
7   0.057355952 203.0.113.16    18.203.70.200   TCP 54  51606 → 443 [ACK] Seq=1 Ack=1 Win=29248 Len=0
8   0.061562746 203.0.113.16    18.203.70.200   TLSv1.3 571 Client Hello
8   0.061562746 203.0.113.16    18.203.70.200   TLSv1.3 571 Client Hello
10  0.104836276 18.203.70.200   203.0.113.16    TLSv1.3 2958    Server Hello, Change Cipher Spec
11  0.104880551 203.0.113.16    18.203.70.200   TCP 54  51606 → 443 [ACK] Seq=518 Ack=2905 Win=35008 Len=0
12  0.104902237 18.203.70.200   203.0.113.16    TLSv1.3 658 Application Data
13  0.104925162 203.0.113.16    18.203.70.200   TCP 54  51606 → 443 [ACK] Seq=518 Ack=3509 Win=37952 Len=0
14  0.109083037 203.0.113.16    18.203.70.200   TLSv1.3 134 Change Cipher Spec, Application Data
15  0.109646827 203.0.113.16    18.203.70.200   TLSv1.3 100 Application Data
16  0.109700685 203.0.113.16    18.203.70.200   TLSv1.3 103 Application Data
17  0.109744382 203.0.113.16    18.203.70.200   TLSv1.3 89  Application Data
18  0.109882096 203.0.113.16    18.203.70.200   TLSv1.3 123 Application Data
19  0.151425699 18.203.70.200   203.0.113.16    TCP 54  443 → 51606 [ACK] Seq=3509 Ack=797 Win=61568 Len=0
20  0.151491050 18.203.70.200   203.0.113.16    TLSv1.3 613 Application Data, Application Data
21  0.152190497 203.0.113.16    18.203.70.200   TLSv1.3 85  Application Data
22  0.155358549 18.203.70.200   203.0.113.16    TLSv1.3 326 Application Data
23  0.156319475 203.0.113.16    18.203.70.200   TLSv1.3 78  Application Data
24  0.156460139 203.0.113.16    18.203.70.200   TCP 54  51606 → 443 [FIN, ACK] Seq=852 Ack=4340 Win=43776 Len=0
25  0.198861820 18.203.70.200   203.0.113.16    TCP 54  443 → 51606 [ACK] Seq=4340 Ack=853 Win=61568 Len=0
26  0.198951063 18.203.70.200   203.0.113.16    TLSv1.3 78  Application Data
27  0.199003446 203.0.113.16    18.203.70.200   TCP 54  51606 → 443 [RST] Seq=853 Win=0 Len=0
28  0.199020077 18.203.70.200   203.0.113.16    TCP 54  443 → 51606 [FIN, ACK] Seq=4364 Ack=853 Win=61568 Len=0
29  0.199036406 203.0.113.16    18.203.70.200   TCP 54  51606 → 443 [RST] Seq=853 Win=0 Len=0

18.203.70.200 是它将owner-api.teslamotors.com解析到的IP地址（经过三个CNAME之后，最终到达AWS主机，您可能会收到一个不同的主机），203.0.113.16作为客户端。

请注意，Server Hello 是一个 2958 字节的 TCP 数据包。这显然不符合 MTU 的规定。

wireshark 在其中识别出一个TLSv1.3 Record Layer: Handshake Protocol: Server Hello122 字节的文件，后面跟着一个TLSv1.3 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec6 字节的文件，但这并不能真正识别出发生了什么。

设置后--tls-max 1.2我们得到更易读的数据：

4476    1113.693922228  54.228.206.56   203.0.113.16    TLSv1.2 2958    Server Hello
4477    1113.693963780  203.0.113.16    54.228.206.56   TCP 54  50456 → 443 [ACK] Seq=241 Ack=2905 Win=35008 Len=0
4478    1113.693984193  54.228.206.56   203.0.113.16    TLSv1.2 591 Certificate, Server Key Exchange, Server Hello Done
4479    1113.694006327  203.0.113.16    54.228.206.56   TCP 54  50456 → 443 [ACK] Seq=241 Ack=3442 Win=37952 Len=0
4480    1113.697364110  203.0.113.16    54.228.206.56   TLSv1.2 147 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
4481    1113.739730405  54.228.206.56   203.0.113.16    TLSv1.2 105 Change Cipher Spec, Encrypted Handshake Message

我们仍然得到 2958 字节的 Server hello，但现在它没有加密，所以我们可以“读取”它包含一个证书：

0090   00 0b 00 02 01 00 00 10 00 05 00 03 02 68 32 16   .............h2.
00a0   03 03 0b c9 0b 00 0b c5 00 0b c2 00 06 f0 30 82   ...É...Å..Â..ð0.
00b0   06 ec 30 82 05 d4 a0 03 02 01 02 02 10 01 77 15   .ì0..Ô .......w.
00c0   34 88 b2 7b 89 2b 6b df 4c 9e 8c 17 e1 30 0d 06   4.²{.+kßL...á0..
00d0   09 2a 86 48 86 f7 0d 01 01 0b 05 00 30 59 31 0b   .*.H.÷......0Y1.
00e0   30 09 06 03 55 04 06 13 02 55 53 31 15 30 13 06   0...U....US1.0..
00f0   03 55 04 0a 13 0c 44 69 67 69 43 65 72 74 20 49   .U....DigiCert I
0100   6e 63 31 33 30 31 06 03 55 04 03 13 2a 44 69 67   nc1301..U...*Dig
0110   69 43 65 72 74 20 47 6c 6f 62 61 6c 20 47 32 20   iCert Global G2 
0120   54 4c 53 20 52 53 41 20 53 48 41 32 35 36 20 32   TLS RSA SHA256 2
0130   30 32 30 20 43 41 31 30 1e 17 0d 32 34 30 35 30   020 CA10...24050
0140   31 30 30 30 30 30 30 5a 17 0d 32 35 30 35 31 35   1000000Z..250515
0150   32 33 35 39 35 39 5a 30 70 31 0b 30 09 06 03 55   235959Z0p1.0...U
0160   04 06 13 02 55 53 31 13 30 11 06 03 55 04 08 13   ....US1.0...U...
0170   0a 43 61 6c 69 66 6f 72 6e 69 61 31 12 30 10 06   .California1.0..
0180   03 55 04 07 13 09 50 61 6c 6f 20 41 6c 74 6f 31   .U....Palo Alto1
0190   14 30 12 06 03 55 04 0a 13 0b 54 65 73 6c 61 2c   .0...U....Tesla,
01a0   20 49 6e 63 2e 31 22 30 20 06 03 55 04 03 13 19    Inc.1"0 ..U....
01b0   6f 77 6e 65 72 2d 61 70 69 2e 74 65 73 6c 61 6d   owner-api.teslam
01c0   6f 74 6f 72 73 2e 63 6f 6d 30 82 01 22 30 0d 06   otors.com0.."0..
01d0   09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82 01 0f   .*.H.÷..........
01e0   00 30 82 01 0a 02 82 01 01 00 d6 40 ae 5a 1b e5   .0........Ö@®Z.å
01f0   ad e9 59 0a cb 71 3c c3 13 ba 22 9e 93 fe 2a 21   .éY.Ëq<Ã.º"..þ*!
0200   df ee 83 6e a3 a1 85 42 a7 c9 cd 93 c8 b7 83 da   ßî.n£¡.B§ÉÍ.È·.Ú
0210   ca 02 3e fb cc 57 48 d1 ad 80 86 09 18 03 e5 c6   Ê.>ûÌWHÑ......åÆ
0220   62 9d 34 b1 76 aa b5 d0 ca c3 3d f5 12 c6 6b 01   b.4±vªµÐÊÃ=õ.Æk.
0230   1b 32 19 9b 95 26 b9 21 16 bf de fe c3 e9 6c 57   .2...&¹!.¿ÞþÃélW
0240   63 0d 94 54 1b 8c 7a 2c 76 32 9d f6 8d d3 2c c7   c..T..z,v2.ö.Ó,Ç
0250   fa 79 6a 61 b9 5a e4 1d 2d a9 16 74 05 45 45 8c   úyja¹Zä.-©.t.EE.
0260   93 c0 93 28 7b 5f 59 1b e5 82 5c 4e c4 93 23 5b   .À.({_Y.å.\NÄ.#[
0270   df 64 48 02 4a dd 43 f2 bb a5 db 84 67 09 e2 3c   ßdH.JÝCò»¥Û.g.â<
0280   0f e7 9c 6b 94 32 f7 b9 f2 3e 49 86 8a f6 4b 62   .ç.k.2÷¹ò>I..öKb
0290   28 37 bf 23 45 20 2c 8d 88 26 68 6a fa 11 f4 22   (7¿#E ,..&hjú.ô"
02a0   71 32 48 ef 26 ce 05 e8 af 05 f5 ad 3e 9e da f8   q2Hï&Î.è¯.õ.>.Úø
02b0   9d 84 4e b8 4a cf c2 7a fc 3a 95 e5 49 34 7b 9b   ..N¸JÏÂzü:.åI4{.
02c0   1e de 75 bf d3 47 e0 b0 e9 43 00 62 86 84 fb 9c   .Þu¿ÓGà°éC.b..û.
02d0   8d ee b3 5f c1 f0 c9 86 cd 77 b0 a8 f1 b2 1d 77   .î³_ÁðÉ.Íw°¨ñ².w
02e0   1a 05 70 39 49 39 e3 86 40 05 02 03 01 00 01 a3   ..p9I9ã.@......£
02f0   82 03 97 30 82 03 93 30 1f 06 03 55 1d 23 04 18   ...0...0...U.#..
0300   30 16 80 14 74 85 80 c0 66 c7 df 37 de cf bd 29   0...t..ÀfÇß7ÞÏ½)
0310   37 aa 03 1d be ed cd 17 30 1d 06 03 55 1d 0e 04   7ª..¾íÍ.0...U...
0320   16 04 14 5c 3a a0 0f 5d f7 4c 04 60 0e 10 ed 95   ...\: .]÷L.`..í.
0330   3d 94 74 bb 16 06 a9 30 24 06 03 55 1d 11 04 1d   =.t»..©0$..U....
0340   30 1b 82 19 6f 77 6e 65 72 2d 61 70 69 2e 74 65   0...owner-api.te
0350   73 6c 61 6d 6f 74 6f 72 73 2e 63 6f 6d 30 3e 06   slamotors.com0>.
0360   03 55 1d 20 04 37 30 35 30 33 06 06 67 81 0c 01   .U. .70503..g...
0370   02 02 30 29 30 27 06 08 2b 06 01 05 05 07 02 01   ..0)0'..+.......
0380   16 1b 68 74 74 70 3a 2f 2f 77 77 77 2e 64 69 67   ..http://www.dig
0390   69 63 65 72 74 2e 63 6f 6d 2f 43 50 53 30 0e 06   icert.com/CPS0..
03a0   03 55 1d 0f 01 01 ff 04 04 03 02 05 a0 30 1d 06   .U....ÿ..... 0..
03b0   03 55 1d 25 04 16 30 14 06 08 2b 06 01 05 05 07   .U.%..0...+.....
03c0   03 01 06 08 2b 06 01 05 05 07 03 02 30 81 9f 06   ....+.......0...
03d0   03 55 1d 1f 04 81 97 30 81 94 30 48 a0 46 a0 44   .U.....0..0H F D
03e0   86 42 68 74 74 70 3a 2f 2f 63 72 6c 33 2e 64 69   .Bhttp://crl3.di
03f0   67 69 63 65 72 74 2e 63 6f 6d 2f 44 69 67 69 43   gicert.com/DigiC
0400   65 72 74 47 6c 6f 62 61 6c 47 32 54 4c 53 52 53   ertGlobalG2TLSRS
0410   41 53 48 41 32 35 36 32 30 32 30 43 41 31 2d 31   ASHA2562020CA1-1
0420   2e 63 72 6c 30 48 a0 46 a0 44 86 42 68 74 74 70   .crl0H F D.Bhttp
0430   3a 2f 2f 63 72 6c 34 2e 64 69 67 69 63 65 72 74   ://crl4.digicert
0440   2e 63 6f 6d 2f 44 69 67 69 43 65 72 74 47 6c 6f   .com/DigiCertGlo
0450   62 61 6c 47 32 54 4c 53 52 53 41 53 48 41 32 35   balG2TLSRSASHA25
0460   36 32 30 32 30 43 41 31 2d 31 2e 63 72 6c 30 81   62020CA1-1.crl0.
0470   87 06 08 2b 06 01 05 05 07 01 01 04 7b 30 79 30   ...+........{0y0
0480   24 06 08 2b 06 01 05 05 07 30 01 86 18 68 74 74   $..+.....0...htt
0490   70 3a 2f 2f 6f 63 73 70 2e 64 69 67 69 63 65 72   p://ocsp.digicer
04a0   74 2e 63 6f 6d 30 51 06 08 2b 06 01 05 05 07 30   t.com0Q..+.....0
04b0   02 86 45 68 74 74 70 3a 2f 2f 63 61 63 65 72 74   ..Ehttp://cacert
04c0   73 2e 64 69 67 69 63 65 72 74 2e 63 6f 6d 2f 44   s.digicert.com/D
04d0   69 67 69 43 65 72 74 47 6c 6f 62 61 6c 47 32 54   igiCertGlobalG2T
04e0   4c 53 52 53 41 53 48 41 32 35 36 32 30 32 30 43   LSRSASHA2562020C
04f0   41 31 2d 31 2e 63 72 74 30 0c 06 03 55 1d 13 01   A1-1.crt0...U...
0500   01 ff 04 02 30 00 30 82 01 80 06 0a 2b 06 01 04   .ÿ..0.0.....+...
0510   01 d6 79 02 04 02 04 82 01 70 04 82 01 6c 01 6a   .Öy......p...l.j
0520   00 77 00 4e 75 a3 27 5c 9a 10 c3 38 5b 6c d4 df   .w.Nu£'\..Ã8[lÔß
0530   3f 52 eb 1d f0 e0 8e 1b 8d 69 c0 b1 fa 64 b1 62   ?Rë.ðà...iÀ±úd±b
0540   9a 39 df 00 00 01 8f 35 f6 2d 80 00 00 04 03 00   .9ß....5ö-......
0550   48 30 46 02 21 00 ce ed 55 3a 18 46 a3 56 f7 a0   H0F.!.ÎíU:.F£V÷ 
0560   74 1a 1e e2 d4 7e 0e 37 01 db 22 a2 a1 70 d8 db   t..âÔ~.7.Û"¢¡pØÛ
0570   ab 91 94 cf b8 f3 02 21 00 ef 1d cd bc 4d de 32   «..Ï¸ó.!.ï.Í¼MÞ2
0580   f1 fd 12 15 47 d9 f3 39 64 26 bc dd ed 7a 82 54   ñý..GÙó9d&¼Ýíz.T
0590   a0 e8 76 96 ab 76 35 44 7d 00 76 00 7d 59 1e 12    èv.«v5D}.v.}Y..
05a0   e1 78 2a 7b 1c 61 67 7c 5e fd f8 d0 87 5c 14 a0   áx*{.ag|^ýøÐ.\. 
05b0   4e 95 9e b9 03 2f d9 0e 8c 2e 79 b8 00 00 01 8f   N..¹./Ù...y¸....
05c0   35 f6 2d b4 00 00 04 03 00 47 30 45 02 21 00 ea   5ö-´.....G0E.!.ê
05d0   10 9d 70 66 09 21 a2 b9 8f 92 a2 6c c0 cd fc e7   ..pf.!¢¹..¢lÀÍüç
05e0   c1 81 65 54 14 52 a1 76 d5 a1 c1 09 cb 6c 3e 02   Á.eT.R¡vÕ¡Á.Ël>.
05f0   20 76 19 9b 28 b1 41 2a 32 1a f1 62 fb f7 be 47    v..(±A*2.ñbû÷¾G
0600   b5 ce 7b 35 7f 3e 34 fd 51 24 2a 1c 8f 0d b3 ae   µÎ{5.>4ýQ$*...³®
0610   14 00 77 00 e6 d2 31 63 40 77 8c c1 10 41 06 d7   ..w.æÒ1c@w.Á.A.×
0620   71 b9 ce c1 d2 40 f6 96 84 86 fb ba 87 32 1d fd   q¹ÎÁÒ@ö...ûº.2.ý
0630   1e 37 8e 50 00 00 01 8f 35 f6 2d cb 00 00 04 03   .7.P....5ö-Ë....
0640   00 48 30 46 02 21 00 c6 f0 56 36 ce a1 f4 54 c5   .H0F.!.ÆðV6Î¡ôTÅ
0650   50 bb 94 b0 29 3e a9 c9 cb d4 f3 db b1 a4 2d 04   P».°)>©ÉËÔóÛ±¤-.
0660   88 8d 85 d2 52 b5 6f 02 21 00 bb 92 9d 4d 2b 0f   ...ÒRµo.!.»..M+.
0670   65 79 51 c5 d4 19 7b 56 a7 2c 9c 54 11 67 34 95   eyQÅÔ.{V§,.T.g4.
0680   b4 63 9b 32 98 60 84 9a 74 55 30 0d 06 09 2a 86   ´c.2.`..tU0...*.
0690   48 86 f7 0d 01 01 0b 05 00 03 82 01 01 00 88 70   H.÷............p
06a0   87 0f 3f 32 bc 02 79 9c 9b b9 c9 88 ad a5 ae 33   ..?2¼.y..¹É..¥®3
06b0   86 05 fa d3 32 93 2b b4 6b 4d 08 7e 7a b5 9c 6b   ..úÓ2.+´kM.~zµ.k
06c0   bb 91 be ab b6 b6 6a 31 49 0a 87 00 04 b4 c3 df   ».¾«¶¶j1I....´Ãß
06d0   cb 23 df a4 38 bc 02 96 37 b4 14 cc 7c ad 67 44   Ë#ß¤8¼..7´.Ì|.gD
06e0   91 db 3e 91 8d df 3a 6e bd 2e 1c ae 51 bd f3 ae   .Û>..ß:n½..®Q½ó®
06f0   d2 b0 a9 25 d7 bc 8a ff c8 02 82 51 d6 20 f6 71   Ò°©%×¼.ÿÈ..QÖ öq
0700   22 ef ac 7d 30 c4 0d 93 03 41 fa c0 15 f3 e5 0e   "ï¬}0Ä...AúÀ.óå.
0710   9a 60 d7 73 7a a4 0e f0 69 73 ff 6f 92 21 ff 80   .`×sz¤.ðisÿo.!ÿ.
0720   2e 8f 17 13 78 0f 89 b8 c6 dd df fc bb 16 9f 9f   ....x..¸ÆÝßü»...
0730   7f e8 64 3a f7 29 fc 3d 10 fc 71 d3 7e 0d e0 47   .èd:÷)ü=.üqÓ~.àG
0740   8e e4 3b 9d 1d 1d 67 44 44 46 d9 56 10 ad 1d 35   .ä;...gDDFÙV...5
0750   59 96 79 83 9d da f4 23 67 17 ab 13 e0 fc ac d7   Y.y..Úô#g.«.àü¬×
0760   3c 9f be 58 37 79 4b 5f ba 1a 2c 13 25 a8 8e 33   <.¾X7yK_º.,.%¨.3
0770   af 2e aa de 38 f3 d0 21 52 66 39 0d 87 ce 9d e9   ¯.ªÞ8óÐ!Rf9..Î.é
0780   db cd 0b 77 ce 5b 12 e9 65 f8 72 99 bc 4a 84 32   ÛÍ.wÎ[.éeør.¼J.2
0790   46 8b 43 7d 0b df e5 a1 9d 46 77 29 59 68 00 04   F.C}.ßå¡.Fw)Yh..
07a0   cc 30 82 04 c8 30 82 03 b0 a0 03 02 01 02 02 10   Ì0..È0..° ......
07b0   0c f5 bd 06 2b 56 02 f4 7a b8 50 2c 23 cc f0 66   .õ½.+V.ôz¸P,#Ìðf
07c0   30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b 05 00 30   0...*.H.÷......0
07d0   61 31 0b 30 09 06 03 55 04 06 13 02 55 53 31 15   a1.0...U....US1.
07e0   30 13 06 03 55 04 0a 13 0c 44 69 67 69 43 65 72   0...U....DigiCer
07f0   74 20 49 6e 63 31 19 30 17 06 03 55 04 0b 13 10   t Inc1.0...U....
0800   77 77 77 2e 64 69 67 69 63 65 72 74 2e 63 6f 6d   www.digicert.com
0810   31 20 30 1e 06 03 55 04 03 13 17 44 69 67 69 43   1 0...U....DigiC
0820   65 72 74 20 47 6c 6f 62 61 6c 20 52 6f 6f 74 20   ert Global Root 
0830   47 32 30 1e 17 0d 32 31 30 33 33 30 30 30 30 30   G20...2103300000
0840   30 30 5a 17 0d 33 31 30 33 32 39 32 33 35 39 35   00Z..31032923595
0850   39 5a 30 59 31 0b 30 09 06 03 55 04 06 13 02 55   9Z0Y1.0...U....U
0860   53 31 15 30 13 06 03 55 04 0a 13 0c 44 69 67 69   S1.0...U....Digi
0870   43 65 72 74 20 49 6e 63 31 33 30 31 06 03 55 04   Cert Inc1301..U.
0880   03 13 2a 44 69 67 69 43 65 72 74 20 47 6c 6f 62   ..*DigiCert Glob
0890   61 6c 20 47 32 20 54 4c 53 20 52 53 41 20 53 48   al G2 TLS RSA SH
08a0   41 32 35 36 20 32 30 32 30 20 43 41 31 30 82 01   A256 2020 CA10..
08b0   22 30 0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00   "0...*.H.÷......
08c0   03 82 01 0f 00 30 82 01 0a 02 82 01 01 00 cc f7   .....0........Ì÷
08d0   10 62 4f a6 bb 63 6f ed 90 52 56 c5 6d 27 7b 7a   .bO¦»coí.RVÅm'{z
08e0   12 56 8a f1 f4 f9 d6 e7 e1 8f bd 95 ab f2 60 41   .V.ñôùÖçá.½.«ò`A
08f0   15 70 db 12 00 fa 27 0a b5 57 38 5b 7d b2 51 93   .pÛ..ú'.µW8[}²Q.
0900   71 95 0e 6a 41 94 5b 35 1b fa 7b fa bb c5 be 24   q..jA.[5.ú{ú»Å¾$
0910   30 fe 56 ef c4 f3 7d 97 e3 14 f5 14 4d cb a7 10   0þVïÄó}.ã.õ.MË§.
0920   f2 16 ea ab 22 f0 31 22 11 61 69 90 26 ba 78 d9   ò.ê«"ð1".ai.&ºxÙ
0930   97 1f e3 7d 66 ab 75 44 95 73 c8 ac ff ef 5d 0a   ..ã}f«uD.sÈ¬ÿï].
0940   8a 59 43 e1 ac b2 3a 0f f3 48 fc d7 6b 37 c1 63   .YCá¬²:.óHü×k7Ác
0950   dc de 46 d6 db 45 fe 7d 23 fd 90 e8 51 07 1e 51   ÜÞFÖÛEþ}#ý.èQ..Q
0960   a3 5f ed 49 46 54 7f 2c 88 c5 f4 13 9c 97 15 3c   £_íIFT.,.Åô....<
0970   03 e8 a1 39 dc 69 0c 32 c1 af 16 57 4c 94 47 42   .è¡9Üi.2Á¯.WL.GB
0980   7c a2 c8 9c 7d e6 d4 4d 54 af 42 99 a8 c1 04 c2   |¢È.}æÔMT¯B.¨Á.Â
0990   77 9c d6 48 e4 ce 11 e0 2a 80 99 f0 43 70 cf 3f   w.ÖHäÎ.à*..ðCpÏ?
09a0   76 6b d1 4c 49 ab 24 5e c2 0d 82 fd 46 a8 ab 6c   vkÑLI«$^Â..ýF¨«l
09b0   93 cc 62 52 42 75 92 f8 9a fa 5e 5e b2 b0 61 e5   .ÌbRBu.ø.ú^^²°aå
09c0   1f 1f b9 7f 09 98 e8 3d fa 83 7f 47 69 a1 02 03   ..¹...è=ú..Gi¡..
09d0   01 00 01 a3 82 01 82 30 82 01 7e 30 12 06 03 55   ...£...0..~0...U
09e0   1d 13 01 01 ff 04 08 30 06 01 01 ff 02 01 00 30   ....ÿ..0...ÿ...0
09f0   1d 06 03 55 1d 0e 04 16 04 14 74 85 80 c0 66 c7   ...U......t..ÀfÇ
0a00   df 37 de cf bd 29 37 aa 03 1d be ed cd 17 30 1f   ß7ÞÏ½)7ª..¾íÍ.0.
0a10   06 03 55 1d 23 04 18 30 16 80 14 4e 22 54 20 18   ..U.#..0...N"T .
0a20   95 e6 e3 6e e6 0f fa fa b9 12 ed 06 17 8f 39 30   .æãnæ.úú¹.í...90
0a30   0e 06 03 55 1d 0f 01 01 ff 04 04 03 02 01 86 30   ...U....ÿ......0
0a40   1d 06 03 55 1d 25 04 16 30 14 06 08 2b 06 01 05   ...U.%..0...+...
0a50   05 07 03 01 06 08 2b 06 01 05 05 07 03 02 30 76   ......+.......0v
0a60   06 08 2b 06 01 05 05 07 01 01 04 6a 30 68 30 24   ..+........j0h0$
0a70   06 08 2b 06 01 05 05 07 30 01 86 18 68 74 74 70   ..+.....0...http
0a80   3a 2f 2f 6f 63 73 70 2e 64 69 67 69 63 65 72 74   ://ocsp.digicert
0a90   2e 63 6f 6d 30 40 06 08 2b 06 01 05 05 07 30 02   .com0@..+.....0.
0aa0   86 34 68 74 74 70 3a 2f 2f 63 61 63 65 72 74 73   .4http://cacerts
0ab0   2e 64 69 67 69 63 65 72 74 2e 63 6f 6d 2f 44 69   .digicert.com/Di
0ac0   67 69 43 65 72 74 47 6c 6f 62 61 6c 52 6f 6f 74   giCertGlobalRoot
0ad0   47 32 2e 63 72 74 30 42 06 03 55 1d 1f 04 3b 30   G2.crt0B..U...;0
0ae0   39 30 37 a0 35 a0 33 86 31 68 74 74 70 3a 2f 2f   907 5 3.1http://
0af0   63 72 6c 33 2e 64 69 67 69 63 65 72 74 2e 63 6f   crl3.digicert.co
0b00   6d 2f 44 69 67 69 43 65 72 74 47 6c 6f 62 61 6c   m/DigiCertGlobal
0b10   52 6f 6f 74 47 32 2e 63 72 6c 30 3d 06 03 55 1d   RootG2.crl0=..U.
0b20   20 04 36 30 34 30 0b 06 09 60 86 48 01 86 fd 6c    .6040...`.H..ýl
0b30   02 01 30 07 06 05 67 81 0c 01 01 30 08 06 06 67   ..0...g....0...g
0b40   81 0c 01 02 01 30 08 06 06 67 81 0c 01 02 02 30   .....0...g.....0
0b50   08 06 06 67 81 0c 01 02 03 30 0d 06 09 2a 86 48   ...g.....0...*.H
0b60   86 f7 0d 01 01 0b 05 00 03 82 01 01 00 90 f1 70   .÷............ñp
0b70   cb 28 97 69 97 7c 74 fd c0 fa 26 7b 53 ab ad cd   Ë(.i.|týÀú&{S«.Í
0b80   65 fd ba 9c 06 9c 8a d7 5a 43 87 ed 4d 4c         eýº....×ZC.íML

编号为 4478 的数据包实际上是由两个数据包构成的，从前一个数据包开始：

[2 Reassembled TCP Segments (3022 bytes): #4476(2799), #4478(223)]
    [Frame: 4476, payload: 0-2798 (2799 bytes)]
    [Frame: 4478, payload: 2799-3021 (223 bytes)]
    [Segment count: 2]
    [Reassembled TCP length: 3022]

其内容如下：

Secure Sockets Layer
    TLSv1.2 Record Layer: Handshake Protocol: Certificate
        Content Type: Handshake (22)
        Version: TLS 1.2 (0x0303)
        Length: 3017
        Handshake Protocol: Certificate
            Handshake Type: Certificate (11)
            Length: 3013
            Certificates Length: 3010
            Certificates (3010 bytes)
Secure Sockets Layer
    TLSv1.2 Record Layer: Handshake Protocol: Server Key Exchange
        Content Type: Handshake (22)
        Version: TLS 1.2 (0x0303)
        Length: 300
        Handshake Protocol: Server Key Exchange
            Handshake Type: Server Key Exchange (12)
            Length: 296
            EC Diffie-Hellman Server Params

后面跟着一个TLSv1.2 Record Layer: Handshake Protocol: Server Hello Done只有 9 个字节的 a。

因此，它仅在这台服务器上失败的原因是它尝试发送一个接近 3000 字节的 TCP 数据包（嵌入 3010 字节的证书），而这在您尝试过的其他站点上不会发生（不过，还会有更多失败。不要丢弃这些 ICMP 错误，并使用匹配的 MTU（如果可能）。

为什么 SSL 握手会由于 MTU 较小而失败？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

为什么 SSL 握手会由于 MTU 较小而失败？

2 个回答

相关问题