V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
msmmbl
V2EX  ›  问与答

https 握手偶尔很慢,怎么破

  •  
  •   msmmbl · 2021-11-08 14:12:40 +08:00 · 1489 次点击
    这是一个创建于 1140 天前的主题,其中的信息可能已经有所发展或是发生改变。

    内网的 https api 接口,用 golang 自带的 https 包写的。

    接口本身很快就是返回一个字符串,类似客户端发 ping ,服务器发 pong 这样的接口,但是好像 https 握手有点问题:90%的情况下握手时间在 100ms 以内,但是偶尔会跑到 12s 。

    为什么我觉得是 https 握手的问题呢,因为如果再这 12s 内关闭浏览器的话,服务端会出现一个 http: TLS handshake error from 172.30.30.0:58182: EOF 日志,所以我判断还在 https 握手阶段。

    证书使用了 let's encrypt 的证书,开始以为是被墙的原因,于是做了 OCSP ,但是没有改观。

    也考虑是 dns 服务器的问题,于是干脆在内网布上 dns 服务器,也没有改观。

    另外出现这个问题的时候,此时用同一个浏览器窗口去访问其他域名的 https 接口(同样 golang ,内网),大概率也会要等 12s 。

    但是出现问题的时候,如果用另外的电脑去访问这个接口,返回就很快。所以我判断不是服务器的负载太高。

    大概率觉得是 https 握手的问题。各位可以指导下吗?

    第 1 条附言  ·  2021-11-08 16:42:20 +08:00

    image.png 一个下午抓到2次这个现象,卡住的时候,浏览器在不停的访问一个IP地址114.80.30.43,但是似乎被公司防火墙挡住了。这个IP好像也没什么特殊的,查到是电信的一个IP。可是这个IP似乎和我们跑的应用没有关系。

    第 2 条附言  ·  2021-11-08 16:53:48 +08:00
    看上去,这些 IP 都是微软的
    11 条回复    2021-11-10 09:33:17 +08:00
    starsky007
        1
    starsky007  
       2021-11-08 15:36:25 +08:00
    “另外的电脑”也像出现问题的那台电脑那样“持续访问”,会怎么样呢?
    这样有助于确定是服务端还是客户端的问题。
    misaka19000
        2
    misaka19000  
       2021-11-08 15:57:49 +08:00
    tcpdump 抓包看
    msmmbl
        3
    msmmbl  
    OP
       2021-11-08 16:10:26 +08:00
    @starsky007 它也会出现偶尔 12s 的握手时间
    msmmbl
        4
    msmmbl  
    OP
       2021-11-08 16:11:32 +08:00
    @misaka19000 嗯,正抓着呢,希望能发现点什么。
    jatsz
        5
    jatsz  
       2021-11-08 16:16:27 +08:00
    一个思路是使用 curl -v 来访问你的接口,纪录这些日志,查看时间真正花在哪里。
    msmmbl
        6
    msmmbl  
    OP
       2021-11-08 16:38:24 +08:00
    @jatsz 嗯,其实很难复现。用 curl -v 很快
    msmmbl
        7
    msmmbl  
    OP
       2021-11-08 16:42:55 +08:00
    @misaka19000 用 tcpdump 貌似发现了一点规律
    starsky007
        8
    starsky007  
       2021-11-09 11:48:07 +08:00 via Android
    我想学习一下,希望楼主在问题解决之后分享一下。
    msmmbl
        9
    msmmbl  
    OP
       2021-11-09 14:10:45 +08:00
    @starsky007 我也是在试。因为卡住的时候,tcpdump 正好都能在网关上抓到附言中提到的 IP 访问,并且那家公司貌似在防火墙上限制了它的访问,于是开始怀疑这几个 IP 了。通过 IP 反查,看出来应该是微软的 CDN 地址,结合公司内网的 DNS 查询记录,大体确认是访问几个 microsoft.com 后缀地址。于是干脆先在 DNS 服务器上加了一些规则,把 microsoft.com 后缀的 dns 查询直接返回 127.0.0.1 。先这样跑着,看看客户的反馈。
    alvinbone88
        10
    alvinbone88  
       2021-11-09 18:36:06 +08:00
    无责任猜测,应该是 ctldl.windowsupdate.com ,负责根证书更新和吊销的
    还有个 crl.microsoft.com ,也有类似的功能
    msmmbl
        11
    msmmbl  
    OP
       2021-11-10 09:33:17 +08:00
    @alvinbone88 厉害啊,应该就是这个问题了。屏蔽 microsoft.com 后客户反馈 ok 了。但是长久来看,还是应该解除这样的访问屏蔽,让系统可以更新到根证书。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   875 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:32 · PVG 04:32 · LAX 12:32 · JFK 15:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.