問題描述
在配置阿里雲DDoS高防後,訪問網站時提示502報錯。
問題原因及解決方案
在DDoS高防作為Proxy 伺服器嘗試執行請求時,從上遊伺服器收到了無效的響應,導致發生502錯誤。因此,說明DDoS高防服務和來源站點之間的串連存在問題。
可能原因一:DDoS高防回源IP被來源站點攔截或限速
在完成網站業務切換後,網站的正常訪問流量經過DDoS高防執行個體清洗,並由DDoS高防回源IP地址轉寄至來源站點伺服器。因此,如果DDoS高防的回源地址不在來源站點防火牆的白名單中,訪問流量可能被錯誤攔截,導致網站無法訪問。
請參見允許存取DDoS高防回源IP,擷取DDoS高防的回源IP網段,將回源IP網段添加至來源站點的防火牆、主機安全防護軟體中。
可能原因二:來源站點本身出現異常
來源站點本身出現異常,將導致響應高防的請求逾時,來源站點異常包括以下幾種情況:
來源站點IP暴露,被惡意攻擊導致癱瘓。
來源站點伺服器機房物理故障。
來源站點伺服器中Apache、Nginx等Web服務出現問題。
伺服器記憶體、CPU佔用過高,導致效能驟降。
來源站點上行鏈路擁擠阻塞。
可通過以下方法進行排查並進行處理:
修改本機
hosts檔案,將網域名稱直接指向來源站點IP,繞過DDoS高防代理驗證來源站點服務是否可用。測試結果
說明
直接存取來源站點IP失敗
問題出在來源站點本身,請再檢查以下內容:
檢查網路連通性:請參照MTR工具進行網路鏈路分析,驗證本地到來源站點IP的網路鏈路是否暢通。
檢查連接埠連通性:使用
telnet命令測試連接埠連通性,驗證來源站點是否開放了服務連接埠。
直接存取來源站點IP成功
請核實DDoS高防配置是否異常。
查看來源站點流量、請求量是否有大量增長,判斷來源站點IP是否暴露遭受DDoS攻擊。
對比DDoS高防管理主控台中的監控,如果來源站點遭到大流量DDoS攻擊,但DDoS高防管理主控台顯示無異常,有可能是攻擊繞過DDoS高防直接攻擊來源站點。可能是來源站點IP暴露,被惡意攻擊導致癱瘓,建議更換固定公網IP地址。
說明正常情況下,用戶端請求訪問DDoS高防,DDoS高防服務收到請求後把真實用戶端的源IP轉換成高防的回源IP(把真實用戶端IP放在HTTP頭部的X-Forwarded-For欄位中)發送給來源站點。
如果來源站點IP暴露,用戶端可以直接請求訪問來源站點,這樣就繞過了DDoS高防服務提供的防護。
查看來源站點伺服器的CPU和記憶體佔用情況、頻寬的監控情況、伺服器中服務的進程狀態情況等。如有異常,請根據現場實際異常的情況進行修複。
可能原因三:串連逾時配置問題
DDoS高防和來源站點的空閑連線逾時時間長度設定不匹配。若來源站點配置的逾時時間長度小於高防,來源站點會先關閉串連,而高防仍認為串連有效,導致後續請求複用已關閉的串連導致觸發502。
請調整空閑連線逾時時間長度,確保來源站點的空閑連線逾時時間長度大於等於DDoS高防。
可能原因四:網路出現擁塞或抖動
在已經排除以上原因後,偶發的局部網路抖動、電訊廠商線路故障等因素,也可能導致502錯誤。