阿里云ECS服务器部署网站后不能访问怎么排查原因
服务器是否能正常远程,服务器网络是否正常。解决方法:ping测试IP通的话,网络是正常的。服务器能远程说明服务器没有问题。如果不能远程,ping不同可以重启服务器试一下、
网站的域名是否解析到服务器IP、网站程序是否绑定域名。解决方法:ping域名检测显示的IP是否是服务器IP,如果不是,是域名解析的问题。联系域名注册上重新解析。
使用的国内服务器的话,域名是否备案,是否添加白名单。
如果以上都正常,那就是网站程序设置的问题。联系做网站的技术帮检查看看。
这个现象应该是黑客在利用漏洞扫描工具测试Ping为入侵做准备,在批量扫描IP地址后,找出可以Ping入的有漏洞的电脑进行攻击。
也就是说你的电脑如果安全做得好,就没有问题。
而瑞星报告了有人Ping入,就说明它已经拦截成功,你的电脑没有问题。
有很多人在Ping入也不是说在攻击你的电脑,他们只是在测试有安全漏洞的电脑。
通常是批量扫描某一个IP地址段内所有在线的主机,而你的地址正好在扫描范围之内,所以就会出现这样的现象啦!
另外,因为通常黑客在入侵时会利用代理服务器,所以瑞星显示的IP地址通常不是真的,而是他们正在使用的代理服务器的地址,有好多都是在国外的,所以跟踪位置也就会显示在国外。不用担心,把系统补丁打好,防火墙杀毒软件都及时更新就没有问题的
禁PING的意思是:不允许电脑、设备或服务器使用PING功能。一般情况下电脑、防火墙、服务器都是允许PING功能的,不需要特别设置不禁止PING,但是远端的服务器(比如某个网站会禁止PING功能),只能在其服务器或防火墙上取消,没有权限是不能操作的。
网络的安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持,这就是我们平常所说的"IPSec安全策略"功能,虽然它提供的功能不是很完善,但只要你合理定制,一样能很有效地增强网络安全。
我的电脑-控制面板-管理工具-本地安全策略-ip安全策略,这是windows提供给我们的配置ip管理的工具,我这里只说一下如何禁止别人ping我的主机。
共有四个步骤:
1、建立禁ping 规则
2、建立禁止/允许规则
3、把这两个规则联系在一起
4、指派
详细:
1、右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加:名称:ping;描述:ping;(勾选"使用添加向导")--添加-下一步:指定源为“任何IP地址”/目标为“我的ip地址”,议类型(icmp),下一步直至完成,关闭此对话框。
2、管理ip筛选器表和筛选器操作-管理筛选器操作-添加(勾选"使用添加向导")-下一步:名称:refuse;描述:refuse--下一步:阻止-下一步直至完成。
3、右击ip安全策略-创建ip安全策略-下一步:名称:禁止ping;--下一步:取消“激活默认响应规则”-下一步:选中"编辑属性"-完成。然后在"禁止ping属性"上-添加(勾选"使用添加向导")-下一步直至"身份验证方法",选第三项,输入共享字串-下一步:在ip筛选器列表里选"ping"--下一步:选"refuse"-下一步到完成。
4、右击"禁止ping"--指派。
这回一条禁止别人ping自己的机器的ip策略完成了。
赶快找个机器试试,自己的机器不行。会提示:请求超时(timeout)
以上只是一条小得的ip过滤。你可以自己制作其他的ip策略,四个步骤。
是为了企业安全。fscan简介 一款内网综合扫描工具,fscan禁止ping扫描是为了企业安全,企业为了安全对服务器都是设置禁止ping命令的,这样可以有效避免ping攻击和扫描,降低服务器被这类攻击的风险。
阿里云服务器偶尔连接不上的问题出现在我做了一些TCP优化之后,出现了公司内网偶尔会出现连接不上服务器的问题,但是切换其他的网络就可以正常连接。
1,登陆服务器查看资源使用top,vmstat等命令查看了一番发现服务器各项指标都没有异常。于是将问题转向了网络层。
2,本地使用ping服务器外网ip正常返回,无丢包,延迟也正常。
3,登录服务器查看tcp相关数据。
发现在卡顿时有大量tcp syn包被丢弃,数值一直在增长。
在查阅资料并结合实际情况后,发现该服务器同时启用了 tcp_timestamps和tcp_tw_recycle参数。
后想起,之前同事为改善time_wait连接数过多问题曾改过该内核参数。
解决办法是,关闭tcp_tw_recycle:
再观察,发现服务已正常,偶尔连接不上的现象消失。
我们先来man一下这两个参数(man tcp):
cp_timestamp 是 RFC1323 定义的优化选项,主要用于 TCP 连接中 RTT(Round Trip Time) 的计算,开启 tcp_timestamp 有利于系统计算更加准确的 RTT,也就有利于 TCP 性能的提升。(默认开启)
关于tcp_timestamps详情请见: https://toolsietforg/pdf/rfc7323pdf
开启tcp_tw_recycle会启用tcp time_wait的快速回收,这个参数不建议在NAT环境中启用,它会引起相关问题。
tcp_tw_recycle是依赖tcp_timestamps参数的,在一般网络环境中,可能不会有问题,但是在NAT环境中,问题就来了。比如我遇到的这个情况,办公室的外网地址只有一个,所有人访问后台都会通过路由器做SNAT将内网地址映射为公网IP,由于服务端和客户端都启用了tcp_timestamps,因此TCP头部中增加时间戳信息,而在服务器看来,同一客户端的时间戳必然是线性增长的,但是,由于我的客户端网络环境是NAT,因此每台主机的时间戳都是有差异的,在启用tcp_tw_recycle后,一旦有客户端断开连接,服务器可能就会丢弃那些时间戳较小的客户端的SYN包,这也就导致了网站访问极不稳定。
主机A SIP:P1 (时间戳T0) ---> Server 主机A断开后
主机B SIP:P1 (时间戳T2) T2 < T0 ---> Server 丢弃
经过此次故障,告诫我们在处理线上问题时,不能盲目修改参数,一定要经过测试,确认无误后,再应用于生产环境。同时,也要加深对相关内核参数的认识和理解。
本文解决灵感来自于 https://blog51ctocom/hld1992/2285410
https://blogcsdnnet/chengm8/article/details/51668992
0条评论