阿里云ECS服务器部署网站后不能访问怎么排查原因

服务器是否能正常远程，服务器网络是否正常。解决方法：ping测试IP通的话，网络是正常的。服务器能远程说明服务器没有问题。如果不能远程，ping不同可以重启服务器试一下、

网站的域名是否解析到服务器IP、网站程序是否绑定域名。解决方法：ping域名检测显示的IP是否是服务器IP，如果不是，是域名解析的问题。联系域名注册上重新解析。

使用的国内服务器的话，域名是否备案，是否添加白名单。

如果以上都正常，那就是网站程序设置的问题。联系做网站的技术帮检查看看。

这个现象应该是黑客在利用漏洞扫描工具测试Ping为入侵做准备，在批量扫描IP地址后，找出可以Ping入的有漏洞的电脑进行攻击。

也就是说你的电脑如果安全做得好，就没有问题。

而瑞星报告了有人Ping入，就说明它已经拦截成功，你的电脑没有问题。

有很多人在Ping入也不是说在攻击你的电脑，他们只是在测试有安全漏洞的电脑。

通常是批量扫描某一个IP地址段内所有在线的主机，而你的地址正好在扫描范围之内，所以就会出现这样的现象啦！

另外，因为通常黑客在入侵时会利用代理服务器，所以瑞星显示的IP地址通常不是真的，而是他们正在使用的代理服务器的地址，有好多都是在国外的，所以跟踪位置也就会显示在国外。不用担心，把系统补丁打好，防火墙杀毒软件都及时更新就没有问题的

禁PING的意思是：不允许电脑、设备或服务器使用PING功能。一般情况下电脑、防火墙、服务器都是允许PING功能的，不需要特别设置不禁止PING，但是远端的服务器（比如某个网站会禁止PING功能），只能在其服务器或防火墙上取消，没有权限是不能操作的。

网络的安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题，因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性，IP安全（IPSec）协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持，这就是我们平常所说的"IPSec安全策略"功能，虽然它提供的功能不是很完善，但只要你合理定制，一样能很有效地增强网络安全。

我的电脑-控制面板-管理工具-本地安全策略-ip安全策略，这是windows提供给我们的配置ip管理的工具，我这里只说一下如何禁止别人ping我的主机。

共有四个步骤：

1、建立禁ping 规则

2、建立禁止/允许规则

3、把这两个规则联系在一起

4、指派

详细：

1、右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加：名称：ping；描述：ping；(勾选"使用添加向导")--添加-下一步：指定源为“任何IP地址”/目标为“我的ip地址”，议类型(icmp)，下一步直至完成，关闭此对话框。

2、管理ip筛选器表和筛选器操作-管理筛选器操作-添加(勾选"使用添加向导")-下一步：名称：refuse；描述：refuse--下一步：阻止-下一步直至完成。

3、右击ip安全策略-创建ip安全策略-下一步：名称：禁止ping；--下一步：取消“激活默认响应规则”-下一步：选中"编辑属性"-完成。然后在"禁止ping属性"上-添加(勾选"使用添加向导")-下一步直至"身份验证方法"，选第三项，输入共享字串-下一步：在ip筛选器列表里选"ping"--下一步：选"refuse"-下一步到完成。

4、右击"禁止ping"--指派。

这回一条禁止别人ping自己的机器的ip策略完成了。

赶快找个机器试试，自己的机器不行。会提示：请求超时（timeout）

以上只是一条小得的ip过滤。你可以自己制作其他的ip策略，四个步骤。

是为了企业安全。fscan简介 一款内网综合扫描工具，fscan禁止ping扫描是为了企业安全，企业为了安全对服务器都是设置禁止ping命令的，这样可以有效避免ping攻击和扫描，降低服务器被这类攻击的风险。

阿里云服务器偶尔连接不上的问题出现在我做了一些TCP优化之后，出现了公司内网偶尔会出现连接不上服务器的问题，但是切换其他的网络就可以正常连接。

1，登陆服务器查看资源使用top，vmstat等命令查看了一番发现服务器各项指标都没有异常。于是将问题转向了网络层。

2，本地使用ping服务器外网ip正常返回，无丢包，延迟也正常。

3，登录服务器查看tcp相关数据。

发现在卡顿时有大量tcp syn包被丢弃，数值一直在增长。

在查阅资料并结合实际情况后，发现该服务器同时启用了 tcp_timestamps和tcp_tw_recycle参数。

后想起，之前同事为改善time_wait连接数过多问题曾改过该内核参数。

解决办法是，关闭tcp_tw_recycle：

再观察，发现服务已正常，偶尔连接不上的现象消失。

我们先来man一下这两个参数(man tcp)：

cp_timestamp 是 RFC1323 定义的优化选项，主要用于 TCP 连接中 RTT(Round Trip Time) 的计算，开启 tcp_timestamp 有利于系统计算更加准确的 RTT，也就有利于 TCP 性能的提升。（默认开启）

关于tcp_timestamps详情请见： https://toolsietforg/pdf/rfc7323pdf

开启tcp_tw_recycle会启用tcp time_wait的快速回收，这个参数不建议在NAT环境中启用，它会引起相关问题。

tcp_tw_recycle是依赖tcp_timestamps参数的，在一般网络环境中，可能不会有问题，但是在NAT环境中，问题就来了。比如我遇到的这个情况，办公室的外网地址只有一个，所有人访问后台都会通过路由器做SNAT将内网地址映射为公网IP，由于服务端和客户端都启用了tcp_timestamps，因此TCP头部中增加时间戳信息，而在服务器看来，同一客户端的时间戳必然是线性增长的，但是，由于我的客户端网络环境是NAT，因此每台主机的时间戳都是有差异的，在启用tcp_tw_recycle后，一旦有客户端断开连接，服务器可能就会丢弃那些时间戳较小的客户端的SYN包，这也就导致了网站访问极不稳定。

主机A SIP:P1 (时间戳T0) ---> Server 主机A断开后

主机B SIP:P1 (时间戳T2) T2 < T0 ---> Server 丢弃

经过此次故障，告诫我们在处理线上问题时，不能盲目修改参数，一定要经过测试，确认无误后，再应用于生产环境。同时，也要加深对相关内核参数的认识和理解。

本文解决灵感来自于 https://blog51ctocom/hld1992/2285410

https://blogcsdnnet/chengm8/article/details/51668992