四个网站在校内外不能访问

admin管理员组

文章数量:1530910

2024年6月19日发(作者：)

责任编辑：赵志远 投稿信箱：

netadmin@

故障诊断与处理

Trouble Shooting

四个网站在校内外不能访问

■ 湖南工业大学现代教育技术中心 郭兆宏

笔者单位有

编者按： 近期笔者单位网络访问四个网站在校内外都

踪不能到达，但

人反映网站出现

不能正常访问，但原因各不相同，有的是路由问题，有的

网站基本可以

打不开的问题，以

是校内安全设备拦截等，需要针对性地排查。

正常访问了。

下就以四个实例

解析。

，可以正常

凤凰网在校内无法访问，但

访问了。

一些子域名能正常访问

国防科技大学网站在校内不

再路由跟踪该网址，虽然

有用户反映凤凰网网站

能访问

也无法到达202.197.9.133，

无法

有用户反映国防科技大

但网页可以正常访问，问题算

访问而之前能正常打开。

学网站.

是解决了。

接到用户反映后在办公

在笔者的校园网内不

同时发现国防科技大学

室确实打不开，用www.17ce.

能访问，但在家里访问正常。

校友网的IP

com测试各站点能打开，但

接到用户反映后，笔

是202.197.9.144，高等教育

解析IP有多个，而凤凰视频

者在办公室尝试确实打不

学报

却可以正常访

开.

的IP是202.197.9.41，国防

问，看视频也正常。

cn，用测试

科技.

通过路由跟踪www.

各站点，可以访问

cn的IP是202.197.9.40，

，目的地址是222.

，而且解

于是在办公出口上将

245.77.74，而是

析IP为110.53.188.133和

202.197.9.X段都路由到电

222.243.141.25，.

202.197.9.133，通过路由跟踪

信出口上。再访问这三个子

com的路由跟踪还未到出口

，发

网都可以正常访问了，其他子

设备时已经断了，而.

现是走学校办公区的教育网

网未检查。

com是222.243.141.25可以

出口出去了，但无法到达域名

至此，该故障解决。

ping通。

的IP地址202.197.9.133。

在校内办公区不能访问

由此断定，肯定校内设备

因已经从学校教育网

国防科技大学网站，是因为路

有拦截，在某台防火墙设备查

出口出去了，后面的事无法

由从学校办公教育网出口出

找时因输错一位IP地址而没

管，就试着在办公出口上把

去后，无法访问国防科技大学

有找到，增加地址放通时也

202.197.9.133的路由指到电

网段，在出口上改此段地址路

输错一位地址，但当时不知道

信出口上，再访问

由为电信出口后，虽然路由跟

是输入错误，没办法只有把此

2019.12

155

Trouble Shooting

故障诊断与处理

责任编辑：赵志远 投稿信箱：

netadmin@

台防火墙直通过去，再路由跟

踪，到了下一级交换机的地

址，肯定还是此台防火墙拦

截了，再回头检查才发现放通

的地址输错了IP地址，同时

发现有条拦截策略里有一个

地址是222.245.77.74，于是

删除此地址，但还是无法访问

。

再路由跟踪，到办公出口

设备后就无显示了，再次检查

全探针设备上线后，在攻击路

访问翻转

出口前的安全设备，因此台设

线图上发现对学校网络有攻

课堂的网站，且说上学期还正

备无查询IP功能就在拦截对

击地址之一。

常的，不能访问已经影响教学

象地址增加222.245.77.74，

为保护校园网正常运行，

了。

不冲突就删除，在某个拦截

于是在其他安全设备对安全

在办公室测试确实打不

对象里有222.245.77.74冲

探针攻击路线图上IP地址增

开，用测试各

突，于是找出来删除，再访

加拦截，可能安全探针设备

站点都能访问，解析IP都

问

上的显示的攻击路线图存在

是121.40.10.136，跟由跟

可以正常访问了，路由跟踪

误判，且.

踪目的

也可

com域名解析出多个IP地

地址121.40.10.136，可以

以正常到达222.245.77.74，

址，正好这个时间段在校内办

到达，ping这个网址www.

至此故障解决。

公区访问是

也是通的。

在办公区无法访问凤凰

222.245.77.74这个IP地址，

在路由跟踪中，笔者发现

网网站.

而此IP地址正好被校内安全

其是从办公区联通出口出去

com是因为在校园网络里

设备上给拦截了。

的，因办公区电信出口更大些

有2台安全设备里有对

通过在2台安全设

是主用出口，于是就试着在办

222.245.77.74的拦截，而

备拦截的IP地址里删除

公出口上将121.40.10.136

用测试www.

222.245.77.74后就能正常访

路由指到电信出口上，当时

解析出多个IP地

问凤凰网网站了。

做完后还是无法访问此网

址，222.245.77.74只是其中

站，路由跟踪是从电信出口

之一。

网站校内

出去的，也路由跟踪到了

而IP地址222.245.

办公区用户不定时不能访问

121.40.10.136，但下午再测

77.74是在去年年底网络安

有用户反映在校内无法

试时却可以访问了。

156

2019.12

责任编辑：赵志远 投稿信箱：

netadmin@

故障诊断与处理

Trouble Shooting

但两天后又有用户反映

路由跟踪都可以到达，都是在

在办公区对这2个域名都能

该网站打不开了，在办公室测

办公教学区从电信出口出去

访问，还未发现有不能访问的

试确定是打不开，路由跟踪到

的，且都可以正常访问。

时间。

了目的121.40.10.136，ping

于是让相关学院的老师

也是通的，就是无法访问网

们使用这两个域名进行访问，

学校官网

站，用测试各

同时在办公出口设备做了

在国外不能访问，个别移动

站点都可以访问，在办公出口

的域名跳

网用户也无法访问

的设备查121.40.10.136的

转到，

在开学时，有学校在美国

流表全都正常。

但因设备URL重定向不支持

的访问学者反映在美国无法

在上网行为管理上时时

对HTTPS加密的网站进行重

访问学校官网.

监控对源地址过滤详细信

定向，效果一般。

cn。

息中，可以看到此域名www.

至此故障解决，这个www.

笔者用测

，在多台的设备

翻转课堂的网

试国外站点是可以访问，用另

里也没查到对121.40.10.136

站不能正常访问从开学搞起，

外一个测试工具显示美国地

有拦截。

断断续续搞了1个多月，有时

址的确实打不开，因学校官网

试着用学生宿舍出口出

能访问，有时不能访问，没有

是云WAF保

去，可以访问er.

找到规律，在安全设备里也没

护的对攻击行为有过滤，且

net，当时有老师在机房上课

有找到相应有拦截，且不能正

在暑假学校网络机房经历过

要使用翻

常访问时路由跟踪可以到达，

停电、教育网出口断过，电信

转课堂的网站，就将此机房几

ping域名

出口断过，在这些故障期间，

十个帐号都改到学生宿舍联

或IP:121.40.10.136全是通

学校官网都

通出口出去了。直接用IP：

的。

是无法访问，希望在美国能要

121.40.10.136试

而如果像凤凰网网站

多次访问，不同时段的访问试

过，但只有部分浏览器可以

的

试。

打开正常页面。DNS用的是

IP:222.245.77.74被安全设

尝试使用真实IP地址

电信的222.246.129.80和

备拦截是不可能通的，基本肯

116访问看看。在安

59.51.78.210，在电脑上换过

定安全设备里没有拦截。也

全探针的攻击源区域排名有

不同的DNS，也都无法正常访

可能是检查的方法手段不对，

美国，用IP138检测这些IP

问。

也可能时间花的还不够，还有

地址确实是美国，说明美国地

后来发现此网站还有其

很多工作要做，不可能天天查

址可以访问学校官网。在办

他域名er.

这一个故障。但从发现另二

公出口设备的流表中也找到

net、都

个域名er.

美国地址，说明有美国的地址

是指向121.40.10.136的，且

net、后，

能访问学校官网。

2019.12

157

Trouble Shooting

故障诊断与处理

责任编辑：赵志远 投稿信箱：

netadmin@

估计可能是云WAF对部

被云WAF给拦截了。

总结

分美国IP地址有拦截，因这

在本文投稿前，电信打电

四个网站在校内外虽然

位老师没有提供在美国的IP

话说学校官网.

都不能正常访问，但原因各不

地址，所以暂时无法查询相关

cn显示的IP地址与注册地

相同。

地址的历史访问记录或拦截

不相同，显示的不是本地的，

有的是路由问题，可以改

记录。

按法规域名必须是注册地的

路由出口；有的是校内安全

9月底先是有学生用户

IP地址，一个是改回来，另一

设备拦截，可以通过路由跟踪

反映无法访问学校官网www.

个到到云WAF公司所在地注

找到断点，再到相关设备里查

，显示“425访问

册去，必须二选一。因学校所

找；有的时断时续的可以访

被云平台拦截，可能原因：你

有网站地址都在本地电信上，

问，可以通过转换不同出口访

的外网IP已被加入到云平台

只是学校官网牵引到云WAF

问，或查找另外域名的方式访

黑名单”。

上，真实IP还是本地的，只

问；有的不能访问可能是因

由于该用户是移动网络

能更改DNS，学校官网取消云

为云保护，可以通过真实IP

用户，笔者让他们用真实IP：

WAF保护。

地址方式访问，或放开拦截的

116地址来访问，可

马上在学校的安全探针

地址段。

以正常访问。后来不断地有

上发现39..134.16.X段几个

总之，网站不能访问的原

老师和学生用户反映都不能

地址对学校网站有大量攻击，

因各异，有的是内网原因，有

访问学校官网.

只得在其他安全设备拦截这

的是外网原因，要因地制宜查

cn，且基本都是移动网络用

几个地址，上面这问题可能还

找故障原因，一一排除或找到

户。

会再出现。

一个解决的方法。

正好前几天云WAF公司

反映39.134.16.X段的地址

大量攻击学校官网.

，15分钟有11万次攻

击，造成学校官网一时无法访

问就把这段地址给拦截了，经

请示领导后让云WAF公司放

开此段地址，后来就没用户

反映不能访问学校官网www.

了。

至此故障解决，这些移动

网络用户不能访问学校官网

的基本都是

158

2019.12

本文标签： 访问学校出口不能