762      iPhone_iPad_Mac_手机_平板_苹果apple

WAF排错手册__排错手册_Web 应用防火墙-阿里云

当发现接入Web应用防火墙的域名出现访问异常时。可以通过本文的工具或者思路确定可能存在的问题。

一、常见排错工具

1.Chrome浏览器——开发者工具: Chrome浏览器自带开发者工具。按F12打开工具，切换至Network标签。可以方便查看页面元素加载情况。

2.ping： Windows、linux操作系统自带的网络测试工具，可以很好地帮助我们分析和判定网络故障。Windows系统按ctrl+R，输入CMD打开工具。用法“ping 域名/IP”

3.traceroute（linux）/tracert（windows）：链路追踪工具，可以检测丢包在哪一跳.Windows系统按ctrl+R，输入CMD打开工具。用法“tracert -d 域名/IP”

4.nslookup:用于检测域名解析的工具，可以检查域名解析是否生效。Windows系统按ctrl+R，输入CMD打开工具。用法 “nslookup 域名”

5.17测网站： https://www.17ce.com ，可以探测全国访问质量、DNS解析、和丢包情况

二、旁路Web应用防火墙，排查是否为源站问题

1.如果源站有安全组或黑白名单、防火墙、安全狗、云锁等设备，先全部禁用，防止WAF回源IP被拉黑（这经常发生）

2.修改本地hosts文件，将该域名指向对应的ecs/slb/服务器公网ip（即WAF上填写的源站IP地址）

3.查看不经过Web应用防火墙是否能复现问题

三、关闭拦截功能，查看是否是误拦截

1.登陆Web应用防火墙控制台

2.找到有问题的域名，点击“防护配置”，关闭“Web应用攻击防护”，查看问题是否继续。

如果问题消失，建议调整防护规则为宽松。或者手工分析出有问题的url，在精确访问控制，添加一个新规则，将URL加白

（精确访问控制手册：https://help.aliyun.com/document_detail/42780.html ）

3.如果还有问题，关闭“CC安全防护”，查看问题是否继续

如果问题消失，建议CC安全防护为正常模式。或者手工分析出有问题的url或IP，在精确访问控制，添加一个新规则，将URL或IP加白

（精确访问控制手册：https://help.aliyun.com/document_detail/42780.html ）

四、常见问题

说明：如果不经过Web应用防火墙问题就消失，而通过Web应用防火墙，问题稳定复现，可以按照以下方式排查：

场景一：访问被405阻断

现象：

出现405阻断页面，或者HTTP返回码为405

原因：

1.出现405阻断页面的可能有两个：

①被精确访问控制阻断

②被Web应用攻击防护规则阻断

解决方案：

登陆Web应用防火墙控制台：https://yundun.console.aliyun.com/#/waf/main
找到有问题的域名，点击“防护配置”，关闭精确访问控制开关，查看是否还有405页面。如果不再出现，即为您所配置的规则误拦截，需要您找到对应规则并删除
如果关闭精确访问控制开关问题仍然存在。找到有问题的域名，点击“防护配置”，关闭“Web应用攻击防护”，查看问题是否继续。如果问题消失，建议调整防护规则为宽松。或者手工分析出有问题的url，在精确访问控制，添加一个新规则，将URL加白（精确访问控制手册：https://help.aliyun.com/document_detail/42780.html ）

场景二：某些IP访问网站显示被重置或者访问被302 set-cookie

现象：

①出现连接被重置②或response返回302同时请求被set-cookie

原因：

①IP访问触发了CC防御规则

解决方案：

登陆Web应用防火墙控制台：https://yundun.console.aliyun.com/#/waf/main
找到对应域名，点击**防护配置**，关闭**CC安全防护**，再次访问看是否恢复。
如果关闭防护后，恢复正常，说明是CC防护规则误拦。可以：
在精确访问控制，对访问的URL或者IP加白
如果原来的防护规则为“攻击紧急”调整CC安全防护 防护模式为：正常

场景三：客户端访问https出现问题

现象：

①https请求返回证书为“www.notexist.com”

原因：

①Web防火墙需要浏览器支持SNI。一般苹果系统原生支持sni。而Windows、Android系统需要做SNI兼容。

解决方案：

查看：https://help.aliyun.com/document_detail/43742.html

场景四：访问出现白屏

现象：

①网站显示白屏，同时HTTP返回码是502

原因：

①当源站（指ECS、SLB或服务器）出现丢包或者不可达的时候，Web防火墙会返回白屏

解决方案：

检查源站是否有黑名单、iptables、防火墙、安全狗、云锁等安全软件或策略，如果有，停用（或卸载）并清空黑名单后再尝试
参照第二部分中的方法，绕过WAF去访问，看是否正常，如果也无法正常访问，可检查下源站的进程、CPU、内存、web日志等是否有异常

场景五:域名ping不通，同时收到短信说WAF被DDoS，进入了黑洞

现象：

①域名ping不通，同时收到短信说WAF被DDoS，进入了黑洞

原因：

①流量DDoS不在Web应用防火墙（WAF）防护范围

解决方案：

受到DDoS攻击，请购买高防IP： https://www.aliyun.com/product/ddos

场景六：后端多台服务器负载不均

现象：

①Web防火墙使用四层IP哈希，高防串联Web应用防火墙时，ECS可能出现负载不均

②SLB使用四层转发时，ECS可能出现负载不均

解决方案：

Web应用防火墙和ECS直接使用SLB负载均衡，使用7层转发，并打开cookie会话保持或负载均衡

场景七：微信或支付宝回调失败

现象：

①微信或支付宝回调失败

原因：

①可能是高频访问被CC拦截

②使用https方式回调，且微信和支付宝不支持sni（什么是sni？：https://help.aliyun.com/document_detail/43742.html ）

解决方案：

登陆Web应用防火墙控制台：https://yundun.console.aliyun.com/#/waf/main
找到对应域名，点击**防护配置**，关闭**CC安全防护**，再次访问看是否恢复。
如果关闭防护后，恢复正常，说明是CC防护规则误拦。可以：
在精确访问控制，对访问的URL或者IP加白
或者调整CC安全防护 防护模式为：正常
如果是SNI问题，以上解决方案无效。需要让微信或支付宝直接调用ecs或者slb ip，不要过Web应用防火墙

最后更新：2016-11-24 11:23:49

  上一篇： WordPress反弹攻击__攻击防护_Web 应用防火墙-阿里云

  下一篇： 405错误___排错手册_Web 应用防火墙-阿里云