案例背景

某公司原本使用某运营商的互联网业务，使用各种应用都没有问题。更换另一运营商的互联网业务后，发现登录QQ经常多人同时掉线，各个楼层、办公室均出现过这种情况，但浏览网页及其他应用均没有问题。用户曾经直接把PC接到出口防火墙上测试，仍出现此情况，因此怀疑是运营商的互联网业务有故障。

用户的网络环境示意图如下：

用户租用了50Mbps的裸光纤专线连接互联网，在防火墙上实现NAT转换功能。本案例在笔记本部署科来网络分析系统，连接到用户的办公网络抓包分析掉线的原因。

案例分析

在用户的防火墙观察出口流量，双向流量均不到20Mbps，可以判断不是流量过大而导致QQ掉线的。

ping运营商的互联接口不丢包，ping QQ的服务器（183.60.48.247），有少量丢包，却不掉线，说明少量丢包并不会造成QQ掉线。

在PC端发现QQ掉线后，大约1秒就自动恢复连接。而平时因网络丢包或时延大而导致的掉线，会等若干秒才能连上。用科来网络分析系统进行分析，发现掉线是由QQ服务器Reset TCP连接导致的。这也就能解释为何掉线后能立即连上。抓包截图如下：

为防止这个Reset是网络中间的安全设备假冒QQ服务器发出的，特查看该Reset包的TTL是否与之前的包一致。查看后发现，收到的Reset包TTL值均为50，可以判断不是中间设备假冒QQ服务器发出来的Reset。

分析结论

通过以上数据分析，我们可以判断用户QQ掉线与运营商网络无关，是QQ服务器由于某种原因主动Reset中断了用户的会话。

针对QQ服务器发出Reset的问题，与腾讯取得联系，腾讯经过检查Log记录，确认是由于用户端的IP由114.247.136.33变为了114.247.136.35。可以判断是用户的防火墙NAT功能出现了异常，所以导致用户的公网IP地址在通信过程中发生变换。