當發現接入Web Application Firewall的網域名稱出現訪問異常時,您可以使用本文提供的工具或者思路確定可能存在的問題。
工具
- Chrome瀏覽器——開發人員工具:Chrome瀏覽器內建開發人員工具,可以用來方便查看頁面元素的載入情況。按F12開啟工具,切換至Network標籤。
- ping:Windows和Linux作業系統內建的網路測試載入器,可以用來分析和判定網路故障。Windows系統按Win+R,輸入CMD開啟工具。用法:
ping 網域名稱/IP。 - traceroute(Linux)/tracert(Windows):鏈路追蹤工具,可以檢測在哪一跳發生丟包。Windows系統按CTRL+R,輸入cmd開啟工具。用法:
tracert -d 網域名稱/IP。 - nslookup:用於檢測網域名稱解析的工具,可以檢查網域名稱解析是否生效。Windows系統按CTRL+R,輸入cmd開啟工具。用法:
nslookup 網域名稱。
排查方法
檢查來源站點是否正常
參照以下步驟旁路Web Application Firewall,排查是否為來源站點問題。
- 禁用來源站點上的安全性群組、黑白名單、防火牆、安全狗、雲鎖等裝置,防止WAF回源IP被拉入黑名單。
- 修改本地hosts檔案,將該網域名稱指向對應的ECS/SLB/伺服器公網IP(即在WAF上填寫的來源站點IP地址)。
- 查看不經過Web Application Firewall是否能複現問題。
檢查是否為誤攔截
參照以下步驟關閉攔截功能,查看是否是誤攔截。
- 登入雲盾Web Application Firewall控制台。
- 前往頁面。
- 找到有問題的網域名稱,單擊其操作列下的防護配置。
- 關閉Web應用攻擊防護,查看問題是否繼續。如果問題消失,
- 建議您將防護規則策略調整為寬鬆。
- 或者您可以手工分析出有問題的URL,並使用精準存取控制,添加一個新規則,將該URL加白。
- 如果還有問題,關閉CC安全防護,查看問題是否繼續。如果問題消失,
- 建議您將CC安全防護的模式調整為正常。
- 或者您可以手工分析出有問題的URL或IP,並使用精準存取控制,添加一個新規則,將該URL或IP加白。
常見Web Application Firewall問題
如果發現不經過Web Application Firewall問題會消失,而接入Web Application Firewall後,問題穩定複現,您可以按照以下方式排查。訪問被阻斷(返回405)
現象
出現405阻斷頁面,或者HTTP返回碼為405。
原因
出現405阻斷頁面可能是由於:
- 被精準存取控制阻斷。
- 被Web應用攻擊防護規則阻斷。
解決方案
- 登入雲盾Web Application Firewall控制台。
- 前往頁面。
- 找到有問題的網域名稱,單擊其操作列下的防護配置。
- 關閉精準存取控制,查看是否還有405頁面。如果不再出現,即為您所配置的規則誤攔截,需要您找到對應規則並將其刪除。
- 如果關閉精準存取控制開關後問題仍然存在,關閉Web應用攻擊防護,查看問題是否繼續。如果問題消失,
- 建議您將防護規則策略調整為寬鬆。
- 或者您可以手工分析出有問題的URL,並使用精準存取控制,添加一個新規則,將該URL加白。
串連被重設(返回302)
現象
某些IP在訪問網站顯示串連被重設,Response返回302。同時,請求被set-cookie。
原因
IP訪問觸發了CC防禦規則。
解決方案
- 登入雲盾Web Application Firewall控制台。
- 前往頁面。
- 找到有問題的網域名稱,單擊其操作列下的防護配置。
- 關閉CC安全防護,再次訪問看是否恢複。如果關閉防護後恢複正常,說明是CC防護規則誤攔截。
- 您可以使用精準存取控制,對訪問的URL或者IP加白。
- 如果原來的防護規則為攻擊緊急,建議您將CC安全防護的模式調整為正常。
用戶端訪問HTTPS異常
現象
HTTPS請求返回認證為www.notexist.com。
原因
Web防火牆需要瀏覽器支援SNI。一般蘋果系統原生支援SNI。而Windows、Android系統需要做SNI相容。
解決方案
訪問出現白屏(返回502)
現象
網站顯示白屏,同時HTTP返回碼是502。
原因
當來源站點(指ECS、SLB或伺服器)出現丟包或者不可達的時候,Web Application Firewall會返回白屏。
解決方案
- 檢查來源站點是否有黑名單、iptables、防火牆、安全狗、雲鎖等安全軟體或策略。如果有,停用或卸載相關服務,並清空黑名單,查看問題是否消失。
- 參照排查方法,繞過WAF去訪問,檢查是否正常。如果仍然無法正常訪問,可檢查來源站點的進程、CPU、記憶體、Web日誌等是否有異常。
網域名稱ping不通,WAF被DDoS,進入了黑洞
現象
網域名稱ping不通。同時,收到簡訊通知,WAF被DDoS,進入了黑洞。
原因
流量DDoS不在Web Application Firewall(WAF)防護範圍內。
解決方案
啟用高防IP,抵禦DDoS攻擊。
後端多台伺服器負載不均
原因
Web防火牆使用四層IP雜湊。因此,
- 當高防串聯Web Application Firewall時,ECS可能出現負載不均。
- 當SLB使用四層轉寄時,ECS可能出現負載不均。
解決方案
Web Application Firewall和ECS直接使用SLB負載平衡,即使用7層轉寄,並開啟cookie會話保持或負載平衡。
微信或支付寶回調失敗
現象
微信或支付寶回調失敗。
原因
- 可能是高頻訪問被CC攔截。
- 或者使用了HTTPS方式回調,且微信和支付寶不支援SNI。關於SNI,請參考SNI 相容性導致 HTTPS 訪問異常(伺服器憑證不可信)。
解決方案
- CC安全防護問題
- 登入雲盾Web Application Firewall控制台。
- 前往頁面。
- 找到有問題的網域名稱,單擊其操作列下的防護配置。
- 關閉CC安全防護,再次訪問看是否恢複。如果關閉防護後恢複正常,說明是CC防護規則誤攔截。
- 您可以使用精準存取控制,對訪問的URL或者IP加白。
- 如果原來的防護規則為攻擊緊急,建議您將CC安全防護的模式調整為正常。
- SNI問題
設定讓微信或支付寶直接調用ECS或者SLB IP,不要經過Web Application Firewall。