一、网络延迟或跨运营商访问问题
延迟或卡顿
原因:高防服务因流量代理和安全检测可能导致延迟增加,不同地域或运营商的用户访问时延差异较大。例如,中国内地用户访问高防(非中国内地)节点时延可能达300ms。
解决方法:
选择距离用户更近的防护节点(如华北、华东节点)。
使用流量调度器功能,在无攻击时直连源站,减少延迟。
搭配CDN、DCDN等加速产品优化网络性能。
跨运营商访问异常
原因:用户跨运营商访问(如电信用户访问联通线路)可能导致丢包或延迟。
解决方法:
引导用户通过对应运营商线路访问(电信用户走电信线路,移动用户走BGP线路)。
二、安全组或访问控制配置错误
回源IP未放行
原因:源站服务器(如ECS、SLB)的安全组或防火墙未放行高防回源IP段,导致流量被拦截。
解决方法:
在高防控制台获取回源IP段,并在源站安全组中添加允许规则。
源站暴露风险
原因:源站IP直接暴露,可能被攻击者绕过高防直接攻击。
解决方法:
更换源站IP并确保仅通过高防IP访问。
三、后端服务器异常
源站服务异常
排查步骤:
使用tcping工具检测源站端口连通性。
检查服务器CPU、带宽、数据库负载是否过高。
若使用SLB,确认后端ECS状态及连接数是否超限。
非阿里云服务器配置问题
注意点:非阿里云服务器可能无法识别真实源IP,需确保安全软件放行高防回源IP段。
四、高防服务状态异常
清洗或黑洞事件
清洗事件:当流量超过阈值触发清洗,可能导致正常流量误拦截。需通过对比受攻击与未受攻击端口的延迟,判断是否为策略误杀。
黑洞事件:大流量攻击导致IP被黑洞,需通过控制台申请解封(每日最多5次)。
五、端口或协议配置错误
端口不通
排查方法:
通过telnet或tcping测试端口连通性。
检查高防配置中是否遗漏端口转发规则。
协议限制
原因:部分高危端口或协议可能被默认禁用(如UDP协议)。
解决:根据业务需求调整高防防护策略,放行必要协议。
六、其他常见问题
DNS解析缓存
现象:高防IP切换后,因本地DNS缓存未更新导致访问异常9。
解决:刷新DNS缓存或缩短TTL值。
客户端链路问题
排查工具:通过tracert或mtr工具分析链路中断节点,联系运营商处理。
