问题描述
用户访问外网卡顿，访问慢；客户端和防火墙一起抓包发现；客户端前面发2个SYN包，防火墙收不到，直到第三个SYN包防火墙才收到；体现在客户端，就是网页访问打开慢，微信发送图片转圈圈；

在核心S7706上面的抓包 发现非常多的SYN包重传

并且只重传SYN包，结合之前深信服客服给出的抓包结果，结合核心交换机上面的抓包结果，说明，用户发出了SYN报文，但是客户端没有收到，或者说收到了发不回来；说明中间有过滤设备，通过查看机房物理拓扑，发现中间还串联了一台IPS

TCP HALF OPEN:
一端在进行完三次握手以后进入ESTABLISHED状态，如果连接的对端在某一时刻在网络中消失，而本端没有感知到，还是处于ESTABLISHED状态，那么本端的连接就被称为半打开连接(Half Open)。
对端主机突然断电，tcp连接来不及发送任何信息就消失。
还有，连接路径上的某个nat设备aging-time过期，并且nat port被重用，虽然tcp连接的两端都还处于ESTABLISHED状态，可实际上两端的连接已经无法正常通信，此时这两端的连接都是半打开连接。
客户服务器端IP更改，而客户端不知道，仍然在给原IP发SYN包，IPS认为这部分SYN包是攻击报文
核心交换机和防火墙使用3层互联，这个时候IPS看到的源目标MAC是同一个，它会认为是同一个客户端发出的TCP，并且发生了TCP SYN攻击