四個(gè)網(wǎng)站在校內(nèi)外不能訪問(wèn)

湖南工業(yè)大學(xué)現(xiàn)代教育技術(shù)中心 郭兆宏

筆者單位有人反映網(wǎng)站出現(xiàn)打不開(kāi)的問(wèn)題，以下就以四個(gè)實(shí)例解析。

國(guó)防科技大學(xué)網(wǎng)站在校內(nèi)不能訪問(wèn)

有用戶反映國(guó)防科技大學(xué)網(wǎng)站https://www.nudt.edu.cn 在筆者的校園網(wǎng)內(nèi)不能訪問(wèn)，但在家里訪問(wèn)正常。

接到用戶反映后，筆者在辦公室嘗試確實(shí)打不開(kāi)https://www.nudt.edu.cn，用www.17ce.com 測(cè)試各站點(diǎn)，可以訪問(wèn)https://www.nudt.edu.cn，而且解析IP 為110.53.188.133 和202.197.9.133，通過(guò)路由跟蹤https://www.nudt.edu.cn，發(fā)現(xiàn)是走學(xué)校辦公區(qū)的教育網(wǎng)出口出去了，但無(wú)法到達(dá)域名的IP 地址202.197.9.133。

因已經(jīng)從學(xué)校教育網(wǎng)出口出去了，后面的事無(wú)法管，就試著在辦公出口上把202.197.9.133 的路由指到電信出口上，再訪問(wèn)https://www.nudt.edu.cn，可以正常訪問(wèn)了。

再路由跟蹤該網(wǎng)址，雖然也無(wú)法到達(dá)202.197.9.133，但網(wǎng)頁(yè)可以正常訪問(wèn)，問(wèn)題算是解決了。

同時(shí)發(fā)現(xiàn)國(guó)防科技大學(xué)校友網(wǎng)xy.nudt.edu.cn 的IP是202.197.9.144，高等教育學(xué)報(bào)gdjyyjxb.nudt.edu.cn的IP 是202.197.9.41，國(guó)防科技gfkjjournal.nudt.edu.cn 的IP 是202.197.9.40，于是在辦公出口上將202.197.9.X 段都路由到電信出口上。再訪問(wèn)這三個(gè)子網(wǎng)都可以正常訪問(wèn)了，其他子網(wǎng)未檢查。

至此，該故障解決。

在校內(nèi)辦公區(qū)不能訪問(wèn)國(guó)防科技大學(xué)網(wǎng)站，是因?yàn)槁酚蓮膶W(xué)校辦公教育網(wǎng)出口出去后，無(wú)法訪問(wèn)國(guó)防科技大學(xué)網(wǎng)段，在出口上改此段地址路由為電信出口后，雖然路由跟蹤不能到達(dá)，但網(wǎng)站基本可以正常訪問(wèn)了。

鳳凰網(wǎng)在校內(nèi)無(wú)法訪問(wèn)，但一些子域名能正常訪問(wèn)

有用戶反映鳳凰網(wǎng)網(wǎng)站http://www.ifeng.com 無(wú)法訪問(wèn)而之前能正常打開(kāi)。

接到用戶反映后在辦公室確實(shí)打不開(kāi)，用www.17ce.com 測(cè)試各站點(diǎn)能打開(kāi)，但解析IP 有多個(gè)，而鳳凰視頻v.ifeng.com 卻可以正常訪問(wèn)，看視頻也正常。

通過(guò)路由跟蹤www.ifeng.com，目的地址是222.245.77.74，而v.ifeng.com 是222.243.141.25，www.ifeng.com 的路由跟蹤還未到出口設(shè)備時(shí)已經(jīng)斷了，而v.ifeng.com 是222.243.141.25 可以ping 通。

由此斷定，肯定校內(nèi)設(shè)備有攔截，在某臺(tái)防火墻設(shè)備查找時(shí)因輸錯(cuò)一位IP 地址而沒(méi)有找到，增加地址放通時(shí)也輸錯(cuò)一位地址，但當(dāng)時(shí)不知道是輸入錯(cuò)誤，沒(méi)辦法只有把此臺(tái)防火墻直通過(guò)去，再路由跟蹤，到了下一級(jí)交換機(jī)的地址，肯定還是此臺(tái)防火墻攔截了，再回頭檢查才發(fā)現(xiàn)放通的地址輸錯(cuò)了IP 地址，同時(shí)發(fā)現(xiàn)有條攔截策略里有一個(gè)地址是222.245.77.74，于是刪除此地址，但還是無(wú)法訪問(wèn)http://www.ifeng.com。

再路由跟蹤，到辦公出口設(shè)備后就無(wú)顯示了，再次檢查出口前的安全設(shè)備，因此臺(tái)設(shè)備無(wú)查詢IP 功能就在攔截對(duì)象地址增加222.245.77.74，不沖突就刪除，在某個(gè)攔截對(duì)象里有222.245.77.74 沖突，于是找出來(lái)刪除，再訪問(wèn)http://www.ifeng.com可以正常訪問(wèn)了，路由跟蹤http://www.ifeng.com 也可以正常到達(dá)222.245.77.74，至此故障解決。

在辦公區(qū)無(wú)法訪問(wèn)鳳凰網(wǎng)網(wǎng)站http://www.ifeng.com 是因?yàn)樵谛@網(wǎng)絡(luò)里有2臺(tái)安全設(shè)備里有對(duì)222.245.77.74 的攔截，而用www.17ce.com 測(cè)試www.ifeng.com 解析出多個(gè)IP 地址，222.245.77.74 只是其中之一。

而IP 地 址222.245.77.74 是在去年年底網(wǎng)絡(luò)安全探針設(shè)備上線后，在攻擊路線圖上發(fā)現(xiàn)對(duì)學(xué)校網(wǎng)絡(luò)有攻擊地址之一。

為保護(hù)校園網(wǎng)正常運(yùn)行，于是在其他安全設(shè)備對(duì)安全探針攻擊路線圖上IP 地址增加攔截，可能安全探針設(shè)備上的顯示的攻擊路線圖存在誤判，且http://www.ifeng.com 域名解析出多個(gè)IP 地址，正好這個(gè)時(shí)間段在校內(nèi)辦公區(qū)訪問(wèn)www.ifeng.com 是222.245.77.74 這個(gè)IP 地址，而此IP 地址正好被校內(nèi)安全設(shè)備上給攔截了。

通過(guò)在2臺(tái)安全設(shè)備攔截的IP 地址里刪除222.245.77.74 后就能正常訪問(wèn)鳳凰網(wǎng)網(wǎng)站了。

www.educoder.net 網(wǎng)站校內(nèi)辦公區(qū)用戶不定時(shí)不能訪問(wèn)

有用戶反映在校內(nèi)無(wú)法訪問(wèn)www.educoder.net 翻轉(zhuǎn)課堂的網(wǎng)站，且說(shuō)上學(xué)期還正常的，不能訪問(wèn)已經(jīng)影響教學(xué)了。

在辦公室測(cè)試確實(shí)打不開(kāi)，用www.17ce.com 測(cè)試各站點(diǎn)都能訪問(wèn)，解析IP 都是121.40.10.136，跟由跟蹤www.educoder.net 目的地址121.40.10.136，可以到 達(dá)，ping 這個(gè)網(wǎng)址www.educoder.net 也是通的。

在路由跟蹤中，筆者發(fā)現(xiàn)其是從辦公區(qū)聯(lián)通出口出去的，因辦公區(qū)電信出口更大些是主用出口，于是就試著在辦公出口上將121.40.10.136路由指到電信出口上，當(dāng)時(shí)做完后還是無(wú)法訪問(wèn)此網(wǎng)站，路由跟蹤是從電信出口出去的，也路由跟蹤到了121.40.10.136，但下午再測(cè)試時(shí)卻可以訪問(wèn)了。

但兩天后又有用戶反映該網(wǎng)站打不開(kāi)了，在辦公室測(cè)試確定是打不開(kāi)，路由跟蹤到了目的121.40.10.136，ping也是通的，就是無(wú)法訪問(wèn)網(wǎng)站，用www.17ce.com 測(cè)試各站點(diǎn)都可以訪問(wèn)，在辦公出口的設(shè)備查121.40.10.136 的流表全都正常。

在上網(wǎng)行為管理上時(shí)時(shí)監(jiān)控對(duì)源地址過(guò)濾詳細(xì)信息中，可以看到此域名www.educoder.net，在多臺(tái)的設(shè)備里也沒(méi)查到對(duì)121.40.10.136有攔截。

試著用學(xué)生宿舍出口出去，可以訪問(wèn)www.educoder.net，當(dāng)時(shí)有老師在機(jī)房上課要使用www.educoder.net 翻轉(zhuǎn)課堂的網(wǎng)站，就將此機(jī)房幾十個(gè)帳號(hào)都改到學(xué)生宿舍聯(lián)通出口出去了。直接用IP：https://121.40.10.136 試過(guò)，但只有部分瀏覽器可以打開(kāi)正常頁(yè)面。DNS 用的是電 信 的222.246.129.80 和59.51.78.210，在電腦上換過(guò)不同的DNS，也都無(wú)法正常訪問(wèn)。

后來(lái)發(fā)現(xiàn)此網(wǎng)站還有其他域名trustie.educoder.net、forge.educoder.net 都是指向121.40.10.136 的，且路由跟蹤都可以到達(dá)，都是在辦公教學(xué)區(qū)從電信出口出去的，且都可以正常訪問(wèn)。

于是讓相關(guān)學(xué)院的老師們使用這兩個(gè)域名進(jìn)行訪問(wèn)，同時(shí)在辦公出口設(shè)備做了www.educoder.net 的域名跳轉(zhuǎn)到trustie.educoder.net，但因設(shè)備URL 重定向不支持對(duì)HTTPS 加密的網(wǎng)站進(jìn)行重定向，效果一般。

至此故障解決，這個(gè)www.educoder.net 翻轉(zhuǎn)課堂的網(wǎng)站不能正常訪問(wèn)從開(kāi)學(xué)搞起，斷斷續(xù)續(xù)搞了1個(gè)多月，有時(shí)能訪問(wèn)，有時(shí)不能訪問(wèn)，沒(méi)有找到規(guī)律，在安全設(shè)備里也沒(méi)有找到相應(yīng)有攔截，且不能正常訪問(wèn)時(shí)路由跟蹤可以到達(dá)，ping 域名www.educoder.net或IP:121.40.10.136 全是通的。

而如果像鳳凰網(wǎng)網(wǎng)站http://www.ifeng.com 的IP:222.245.77.74 被安全設(shè)備攔截是不可能通的，基本肯定安全設(shè)備里沒(méi)有攔截。也可能是檢查的方法手段不對(duì)，也可能時(shí)間花的還不夠，還有很多工作要做，不可能天天查這一個(gè)故障。但從發(fā)現(xiàn)另二個(gè)域名trustie.educoder.net、forge.educoder.net 后，在辦公區(qū)對(duì)這2個(gè)域名都能訪問(wèn)，還未發(fā)現(xiàn)有不能訪問(wèn)的時(shí)間。

學(xué)校官網(wǎng)www.hut.edu.cn在國(guó)外不能訪問(wèn)，個(gè)別移動(dòng)網(wǎng)用戶也無(wú)法訪問(wèn)

在開(kāi)學(xué)時(shí)，有學(xué)校在美國(guó)的訪問(wèn)學(xué)者反映在美國(guó)無(wú)法訪問(wèn)學(xué)校官網(wǎng)www.hut.edu.cn。

筆者用www.17ce.com 測(cè)試國(guó)外站點(diǎn)是可以訪問(wèn)，用另外一個(gè)測(cè)試工具顯示美國(guó)地址的確實(shí)打不開(kāi)，因?qū)W校官網(wǎng)www.hut.edu.cn 是 云WAF 保護(hù)的對(duì)攻擊行為有過(guò)濾，且在暑假學(xué)校網(wǎng)絡(luò)機(jī)房經(jīng)歷過(guò)停電、教育網(wǎng)出口斷過(guò)，電信出口斷過(guò)，在這些故障期間，學(xué)校官網(wǎng)www.hut.edu.cn 都是無(wú)法訪問(wèn)，希望在美國(guó)能要多次訪問(wèn)，不同時(shí)段的訪問(wèn)試試。

嘗試使用真實(shí)IP 地址218.x.x.116 訪問(wèn)看看。在安全探針的攻擊源區(qū)域排名有美國(guó)，用IP138 檢測(cè)這些IP地址確實(shí)是美國(guó)，說(shuō)明美國(guó)地址可以訪問(wèn)學(xué)校官網(wǎng)。在辦公出口設(shè)備的流表中也找到美國(guó)地址，說(shuō)明有美國(guó)的地址能訪問(wèn)學(xué)校官網(wǎng)。

估計(jì)可能是云WAF 對(duì)部分美國(guó)IP 地址有攔截，因這位老師沒(méi)有提供在美國(guó)的IP地址，所以暫時(shí)無(wú)法查詢相關(guān)地址的歷史訪問(wèn)記錄或攔截記錄。

9月底先是有學(xué)生用戶反映無(wú)法訪問(wèn)學(xué)校官網(wǎng)www.hut.edu.cn，顯示“425 訪 問(wèn)被云平臺(tái)攔截，可能原因：你的外網(wǎng)IP 已被加入到云平臺(tái)黑名單”。

由于該用戶是移動(dòng)網(wǎng)絡(luò)用戶，筆者讓他們用真實(shí)IP：218.x.x.116 地址來(lái)訪問(wèn)，可以正常訪問(wèn)。后來(lái)不斷地有老師和學(xué)生用戶反映都不能訪問(wèn)學(xué)校官網(wǎng)www.hut.edu.cn，且基本都是移動(dòng)網(wǎng)絡(luò)用戶。

正好前幾天云WAF 公司反映39.134.16.X 段的地址大量攻擊學(xué)校官網(wǎng)www.hut.edu.cn，15 分鐘有11萬(wàn)次攻擊，造成學(xué)校官網(wǎng)一時(shí)無(wú)法訪問(wèn)就把這段地址給攔截了，經(jīng)請(qǐng)示領(lǐng)導(dǎo)后讓云WAF 公司放開(kāi)此段地址，后來(lái)就沒(méi)用戶反映不能訪問(wèn)學(xué)校官網(wǎng)www.hut.edu.cn 了。

至此故障解決，這些移動(dòng)網(wǎng)絡(luò)用戶不能訪問(wèn)學(xué)校官網(wǎng)www.hut.edu.cn 的基本都是被云WAF 給攔截了。

在本文投稿前，電信打電話說(shuō)學(xué)校官網(wǎng)www.hut.edu.cn 顯示的IP 地址與注冊(cè)地不相同，顯示的不是本地的，按法規(guī)域名必須是注冊(cè)地的IP 地址，一個(gè)是改回來(lái)，另一個(gè)到到云WAF 公司所在地注冊(cè)去，必須二選一。因?qū)W校所有網(wǎng)站地址都在本地電信上，只是學(xué)校官網(wǎng)牽引到云WAF上，真實(shí)IP 還是本地的，只能更改DNS，學(xué)校官網(wǎng)取消云WAF 保護(hù)。

馬上在學(xué)校的安全探針上發(fā)現(xiàn)39..134.16.X 段幾個(gè)地址對(duì)學(xué)校網(wǎng)站有大量攻擊，只得在其他安全設(shè)備攔截這幾個(gè)地址，上面這問(wèn)題可能還會(huì)再出現(xiàn)。

總結(jié)

四個(gè)網(wǎng)站在校內(nèi)外雖然都不能正常訪問(wèn)，但原因各不相同。

有的是路由問(wèn)題，可以改路由出口；有的是校內(nèi)安全設(shè)備攔截，可以通過(guò)路由跟蹤找到斷點(diǎn)，再到相關(guān)設(shè)備里查找；有的時(shí)斷時(shí)續(xù)的可以訪問(wèn)，可以通過(guò)轉(zhuǎn)換不同出口訪問(wèn)，或查找另外域名的方式訪問(wèn)；有的不能訪問(wèn)可能是因?yàn)樵票Ｗo(hù)，可以通過(guò)真實(shí)IP地址方式訪問(wèn)，或放開(kāi)攔截的地址段。

總之，網(wǎng)站不能訪問(wèn)的原因各異，有的是內(nèi)網(wǎng)原因，有的是外網(wǎng)原因，要因地制宜查找故障原因，一一排除或找到一個(gè)解決的方法。