发布：凯铧互联

因各种因素，用户通过私网或本地公网访问阿里云服务器 ECS 上相关业务时，可能出现访问异常的情况。本文先对整个链路上，可能引发访问异常的相关因素及症状进行说明，然后阐述了出现异常时的排查思路及处理办法。最后对工单提交时的注意事项进行了说明。阿里云服务器 ECS 访问异常关联因素及症状示意图请访问
注：本文相关说明不考虑阿里云 CDN 或第三方 CDN 网络相关因素的影响。

ECS 访问异常关联因素主要有私网公网两大方面，下边分别说明

一、通过私网访问异常时关联因素说明
如果客户端是通过私网访问，则其链路相对简单。可能引发访问异常的因素及导致的客户端症状包括：
1、源服务器内部配置
因素说明：
源服务器内部防火墙、安全软件等安全策略，或系统中毒等操作系统内部问题导致访问异常。
可能症状及原因：
ping 丢包：源服务器中毒等操作系统内部问题导致网络异常。
ping 不通：源服务器系统内安全软件等安全策略禁止外 ping。
所有端口 telnet 都不通：源服务器中毒等操作系统内部问题导致网络异常。
只有部分端口 telnet 不通：源服务器系统内安全软件等安全策略禁止了对部分端口的访问。
2、源服务器安全组配置
因素说明：
源服务器归属安全组规则阻断了对目标服务器的访问。
可能症状及原因：
ping 不通：源服务器出方向配置了禁 ping 规则。
所有端口 telnet 都不通：源服务器出方向为指定端口配置了 drop 规则。
只有部分端口 telnet 不通：源服务器出方向为所有端口配置了 drop 规则。
3、负载均衡白名单
因素说明：
如果目标服务器是负载均衡，则相应监听端口开启白名单后，只有指定的 IP 或 IP 段地址才能对其访问。
可能症状及原因：
只有部分端口 telnet 不通：源服务器 IP 不在白名单之内，导致无法访问相应监听端口。
4、目标服务器安全组配置
因素说明：?目标服务器归属安全组规则阻断了源服务器的访问。
可能症状及原因：
ping 不通：目标服务器入方向配置了禁 ping 规则。
所有端口 telnet 都不通：目标服务器入方向为指定端口配置了 drop 规则。
只有部分端口 telnet 不通：目标服务器入方向为所有端口配置了 drop 规则。
5、目标服务器内部配置
因素说明：目标服务器内部防火墙、安全软件等安全策略，或系统中毒等操作系统内部问题导致访问异常。
可能症状及原因：
ping 丢包：目标服务器中毒等操作系统内部问题导致访问异常。
ping 不通：目标服务器系统内安全软件等安全策略禁 ping。
所有端口 telnet 都不通：目标服务器中毒等操作系统内部问题导致访问异常。
只有部分端口 telnet 不通：目标服务器系统内安全软件等安全策略禁止了对部分端口的访问。

二、通过公网访问异常时关联因素说明
如果客户端通过公网访问，则涉及的关联因素较多，包括：
1、客户端网络环境
2、运营商网络环境
3、阿里云网络环境
4、目标ECS服务器内部环境

以下分别说明

1、客户端网络环境
对于客户端网络环境，可能引发访问异常的因素及导致的客户端症状包括：
1）、用户本地网络
因素说明：
如果用户本地网络存在异常，可能会导致部分 IP 或所有 IP 均无法正常访问。
可能症状及原因：
非阿里云服务 IP 也无法访问：不仅是目标服务器无法访问，其它非阿里云 IP 也无法访问。
2）、本地 DNS 劫持
因素说明：
用户本地网络或当地运营商有 DNS 劫持行为，导致访问目标服务器关联业务时，出现非正常跳转或者被插入广告。
可能症状及原因：
非正常跳转：DNS 劫持导致访问目标服务器关联业务时，跳转到了其它无关联网站。
被插入广告：DNS 劫持导致访问目标服务器关联业务时，页面被插入广告。
2、运营商网络环境
对于运营商网络环境，可能引发访问异常的因素及导致的客户端症状包括：
1）、运营商网络策略
因素说明：
运营商根据其策略，可能会进行 DNS 劫持，或阻断某些 IP、域名或端口的访问。
可能症状及原因：
被插入广告：DNS 劫持导致访问目标服务器关联业务时，页面被插入广告。
域名无法访问但 IP 访问正常：运营商对某些违规域名的访问做了阻断。
所有端口 telnet 都不通：运营商对某些违规 IP 的访问做了阻断。
只有部分端口 telnet 不通：运营商对某些高危端口的访问做了阻断。
2）、备案
因素说明：
对于境内服务器，根据行政管控要求，需要进行备案。
可能症状及原因：
非正常跳转：目标服务器关联域名未备案，导致访问关联业务时，跳转到了备案提示页面。
域名无法访问但 IP 访问正常：目标服务器关联域名未备案，导致访问时，跳转到了备案提示页面，但通过 IP 访问无影响。
3、阿里云网络环境
对于阿里云网络环境，可能引发访问异常的因素及导致的客户端症状包括：
1）、云盾-肉鸡关停
因素说明：
目标服务器因肉鸡、中毒等问题，持续对外攻击，被云盾关停。
可能症状及原因：
ping 不通：服务器被关停导致无法 ping 通。
所有端口 telnet 都不通：服务器被关停导致所有端口都不通。
2）、云盾-访问拦截
因素说明：
源服务器因持续扫描探测、攻击等行为，被云盾阻断。
注意：如果源服务器本地网络是通过 NAT 共享方式访问公网的，则攻击源不一定是客户自身服务器，而可能是同网络内其它服务器。由于共享相同的公网 IP，导致云盾阻断相应 IP 后，源服务器的访问也受到了波及和影响。
可能症状及原因：
ping 不通：源服务器 IP 被云盾拦截，导致禁 ping。
所有端口 telnet 都不通：源服务器 IP 被云盾拦截，导致所有端口都无法访问。
3）、绿网-违规屏蔽
因素说明：
目标服务器相关 URL 存在违规内容，访问被阻断。
可能症状及原因：
非正常跳转：源服务器业务异常，导致相关访问跳转到了 DDos 高防或 Web 应用防火墙源站异常提示页面。
部分 URL 无法访问：被 Web 应用防火墙规则命中的相应 URL，客户端无法正常访问，会跳转到了相应的阻断提示页面。
4）、DDos 高防和 Web 应用防火墙
因素说明：
目标服务器业务异常，或者源服务器相关访问行为被 DDos 高防或 Web 应用防火墙拦截规则命中，导致访问异常。
可能症状及原因：
ping 不通：服务器被关停导致无法 ping 通。
所有端口 telnet 都不通：服务器被关停导致所有端口都不通。
5）、负载均衡白名单
因素说明：
如果目标服务器是负载均衡，则相应监听端口开启白名单后，只有指定的 IP 或 IP 段地址才能对其访问。
可能症状及原因：
只有部分端口 telnet 不通：源服务器 IP 不在白名单之内，导致无法访问相应监听端口。
6）、目标服务器安全组配置
因素说明：
目标服务器归属安全组规则阻断了源服务器的访问。
可能症状及原因：
ping 不通：目标服务器入方向配置了禁 ping 规则。
所有端口 telnet 都不通：目标服务器入方向为指定端口配置了 drop 规则。
只有部分端口 telnet 不通：目标服务器入方向为所有端口配置了 drop 规则。

4、目标ECS服务器内部环境
对于目标 ECS 服务器自身相关环境，可能引发访问异常的因素及导致的客户端症状包括：
1）、目标服务器欠费停机
因素说明：目标服务器欠费停机导致无法访问。
可能症状及原因：
ping 不通：目标服务器欠费停机导致无法 ping 通。
所有端口 telnet 都不通：目标服务器欠费停机导致所有端口无法访问。
2）、目标服务器内部配置
因素说明：
目标服务器内部防火墙、安全软件等安全策略，或系统中毒等操作系统内部问题导致访问异常。
可能症状及原因：
ping 丢包：目标服务器中毒等操作系统内部问题导致访问异常。
ping 不通：目标服务器系统内安全软件等安全策略禁ping。
所有端口 telnet 都不通：目标服务器中毒等操作系统内部问题导致访问异常。
只有部分端口 telnet 不通：目标服务器系统内安全软件等安全策略禁止了对部分端口的访问。
3）、软件源地址访问控制
因素说明：
目标服务器内部业务软件对源 IP 做了访问控制，导致源服务器无法访问。
可能症状及原因：
只有部分端口 telnet 不通：相应端口对应业务软件对源 IP 做了访问控制，阻断了源服务器的访问。

以上就是关于阿里云服务器 ECS 访问异常关联因素说明的说明。阿里云代理商凯铧互联提供阿里云服务器/企业邮箱等产品的代购服务，同样的品质，更多贴心的服务，更实惠的价格。 阿里云代理商凯铧互联会为您提供一对一专业全面的技术服务，同时还能为您提供阿里云其他产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠！若您需要帮助可以直接联系我方客服，阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7x24技术服务。 电话专线：136-5130-9831，QQ:3398234753。

为什么选择我们：北京凯铧互联科技有限公司（简称凯铧互联）由多名前阿里云资深技术专家创立,核心员工来自阿里云、腾讯云等,作为阿里云,腾讯云百度云,金山云,华为云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。