すべてのプロダクト
Search
ドキュメントセンター

:Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスで保護されているWebサイトで502エラーが返された場合はどうすればよいですか。

最終更新日:May 22, 2024

問題の説明

Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスで保護されているWebサイトにアクセスすると、502のエラーが返されます。

原因

WebサイトをAnti-DDoS ProまたはAnti-DDoS Premiumインスタンスに追加すると、インスタンスはリクエストを処理するためのプロキシとして使用されます。 インスタンスがオリジンサーバーから無効な応答を受信した場合、502エラーが返されます。 502エラーは、インスタンスとオリジンサーバーの間に接続の問題が存在することを示しています。 サービストラフィックをインスタンスに切り替えた後、インスタンスはトラフィックをスクラブし、back-to-origin IPアドレスを使用してトラフィックをオリジンサーバーに転送します。 back-to-origin IPアドレスがファイアウォールのホワイトリストに追加されていない場合、インスタンスからのトラフィックがブロックされる可能性があります。 これにより、Webサイトへのアクセスが失敗します。 この問題は、次のいずれかの理由で発生します。

解決策

インスタンスのBack-to-origin IPアドレスがブロックされているか、スロットリングの対象となります。

オリジンサーバー上のインスタンスのback-to-origin IPアドレスのみを許可する必要があります。 次のいずれかの方法を使用して、オリジンサーバー上のインスタンスのback-to-origin IPアドレスを許可できます。
  • Anti-DDoS ProまたはAnti-DDoS Premiumのback-to-origin CIDRブロックを取得し、そのCIDRブロックをファイアウォールのホワイトリスト、またはオリジンサーバー上のSafedogなどのセキュリティソフトウェアに追加します。 詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。
    説明 Anti-DDoS ProまたはAnti-DDoS Premiumを使用してWebサイトを保護するには、オリジンサーバーのホワイトリストにback-To-origin IPアドレスを追加することを推奨します。 これにより、Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスからのトラフィックが、オリジンサーバー上のセキュリティソフトウェアによってブロックされないようにします。
  • 配信元サーバーのファイアウォールとセキュリティソフトウェアを無効にします。

オリジンサーバーの例外が発生

オリジンサーバーの例外が発生すると、インスタンスからオリジンサーバーへのリクエストがタイムアウトします。 オリジンサーバーの例外には、次のタイプがあります。
  • オリジンサーバーのIPアドレスが公開され、攻撃されます。 これにより、配信元サーバーの応答が停止します。
  • オリジンサーバーが存在するデータセンターで障害が発生します。
  • オリジンサーバー上のApacheやNGINXなどのWebサイトサービスは、期待どおりに実行されません。
  • オリジンサーバーのメモリ使用率が高いかCPU使用率が高いと、パフォーマンスが急激に低下します。
  • オリジンサーバーのアップリンクが混雑しています。
次の方法を使用して、問題をトラブルシューティングできます。
  1. ローカルhostsファイルを変更して、Webサイトのドメイン名を配信元サーバーのIPアドレスに解決します。
    • オリジンサーバーのIPアドレスを使用してドメイン名にアクセスできず、パケット損失または接続タイムアウトが発生した場合、問題はオリジンサーバーの例外が原因です。 オリジンサーバーの例外をトラブルシューティングし、さらに問題をトラブルシューティングできます。
      • オリジンサーバーのIPアドレスをPingし、パケット損失が発生したかどうかを確認します。
      • telnetコマンドを実行してポート接続をテストし、接続タイムアウトが発生するかどうかを確認します。
    • オリジンサーバーのIPアドレスを使用してドメイン名にアクセスできる場合は、インスタンスの設定が正しいかどうかを確認します。
  2. 配信元サーバーでリクエストとトラフィックが急増していないか確認し、Anti-DDoS Proコンソールでリクエストとトラフィックの統計を表示します。 オリジンサーバーがボリューム攻撃を受けているが、Anti-DDoS ProまたはAnti-DDoS Premiumコンソールに例外が表示されない場合、攻撃者はインスタンスをバイパスしてオリジンサーバーを攻撃する可能性があります。 この場合、オリジンサーバーのIPアドレスが公開され、攻撃される可能性があります。 これにより、配信元サーバーの応答が停止します。 できるだけ早い機会にオリジンサーバーのIPアドレスを変更することを推奨します。 詳細については、「ECSオリジンサーバーのパブリックIPアドレスの変更」をご参照ください。
    説明
    • 通常、クライアントはAnti-DDoS ProまたはAnti-DDoS Premiumインスタンスにリクエストを送信します。 インスタンスはリクエストを受信し、リクエストをオリジンサーバーに送信します。 このようにして、オリジンサーバーはインスタンスのback-to-origin IPアドレスからのすべてのリクエストを処理します。 クライアントのIPアドレスは、HTTPヘッダーのX-Forwarded-Forフィールドに渡されます。
    • オリジンサーバーのIPアドレスが公開されている場合、クライアントはインスタンスをバイパスしてオリジンサーバーにアクセスできます。
  3. 問題が攻撃によるものではない場合は、オリジンサーバーのプロセスステータス、CPU使用率、およびメモリ使用率を確認し、データセンターの帯域幅使用率を確認します。 例外が発生した場合は、実際のビジネス状況に基づいて例外のトラブルシューティングを行うことを推奨します。

ネットワークの輻輳またはジッタが発生

前述の原因とは別に、時折のローカルネットワークのジッタや回線障害も502エラーを引き起こす可能性があります。

参考資料

適用範囲

Anti-DDoS ProとAnti-DDoS Premium

問題が解決しない場合は、Alibaba Cloud Communityにログインして無料で相談できます。 詳細については、「無料相談」をご参照ください。