网站间隙性502故障(绿盟waf)Error:no live upstreams while

最新推荐文章于 2024-01-26 10:13:35 发布
最新推荐文章于 2024-01-26 10:13:35 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 信息安全 日常运维 文章标签: nginx linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_19620507/article/details/104636778
版权

现象:
11月27日早上8点18分
安全巡检发现部分页面间歇性出现502(页面报错,服务器不响应),
8:30左右陆陆续续恢复

过程:
知道监管会在晚上外网扫描(常规扫描)

  • 02.09分发起扫描
    02.10分接收到邮件和短信告警(量不大)
    02.18分中心电话通知xxx(未接到)
    02.26分中心二次通知,接听并在群回复监管扫描
    07.28分中心在QQ通知一直在告警,处理下
    08.11分到公司在waf下封禁了该Ip
    08.11分间隙性502出现
    08.30左右分间隙性502消失

在安全事件处置上,不存在错误处理,并且告警通知拦截全部到位

从扫描到封禁IP前正常,封禁IP在waf上属于常规操作,并且该功能存在2年之久,外网也时时刻刻发起攻击扫描,也未出现过异常
在8.10分左右开始出现服务器报错502
502
查看nginx错误日志,发现
【98946#0: *70041627 no live upstreams while connecting to upstream, client: 123.xx.xx.5, server: xxx.xxxxxx.com, request: “POST /cb-api/captcha/send/mobile/unblock HTTP/1.1”, upstream: “http://WEB/cb-api/captcha/send/mobile/unblock”, host: “xxxxl.xxxxx.com”】
出现168,341次,和8:10分后,出现的502错误次数相当

根源分析
Nginx被动探测原理

  • *nginx 判断节点失效状态

Nginx默认判断失败节点状态以connect refuse和time out状态为准,不以HTTP错误状态进行判断失败,因为HTTP只要能返回状态说明该节点还可以正常连接,所以nginx判断其还是存活状态;除非添加了proxy_next_upstream指令设置对404、502、503、504、500和time out等错误进行转到备机处理,在next_upstream过程中,会对fails进行累加,如果备用机处理还是错误则直接返回错误信息(但404不进行记录到错误数,如果不配置错误状态也不对其进行错误状态记录),综述,nginx记录错误数量只记录timeout 、connect refuse、502、500、503、504这6种状态,timeout和connect refuse是永远被记录错误状态,而502、500、503、504只有在配置proxy_next_upstream后nginx才会记录这4种HTTP错误到fails中,当fails大于等于max_fails时,则该节点失效;*

  • nginx 处理节点失效和恢复的触发条件

nginx可以通过设置max_fails(最大尝试失败次数)和fail_timeout(失效时间,在到达最大尝试失败次数后,在fail_timeout的时间范围内节点被置为失效,除非所有节点都失效,否则该时间内,节点不进行恢复)对节点失败的尝试次数和失效时间进行设置,当超过最大尝试次数或失效时间未超过配置失效时间,则nginx会对节点状会置为失效状态,nginx不对该后端进行连接,直到超过失效时间或者所有节点都失效后,该节点重新置为有效,重新探测;

  • 所有节点失效后nginx将重新恢复所有节点进行探测

如果探测所有节点均失效,备机也为失效时,那么nginx会对所有节点恢复为有效,重新尝试探测有效节点,如果探测到有效节点则返回正确节点内容,如果还是全部错误,那么继续探测下去,当没有正确信息时,节点失效时默认返回状态为502,但是下次访问节点时会继续探测正确节点,直到找到正确的为止。

  • 通过proxy_next_upstream实现容灾和重复处理问题

ngx_http_proxy_module 模块中包括proxy_next_upstream指令语法: proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503 | http_504 |http_404 | off …;默认值: proxy_next_upstream error timeout; 上下文: http, server, location

原因:
当08.11分在waf封禁IP后,
这个IP扫描探测功能并没有停止,
扫描器发出所有的包在nginx看到后端给的结果都是502,
在大量的访问多个后端连续反馈502,
nginx认为后端没有任何存活的机器。
Error:no live upstreams while…
**
问题
**:
该架构设计问题涉及到nginx到后端串联所有的安全产品问题,属于行业通用问题
waf产品设计不合理,未考虑nginx探测机制问题

lefooter
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
人物 |绿盟科技曹嘉:做管理就是做服务.pdf
09-18
人物 |绿盟科技曹嘉:做管理就是做服务 安全对抗 安全架构 区块链 风险评估 信息安全
WAF(NGINX)中502和504的区别
华为云官方博客
07-05 3261
0x00 前言 华为云WAF使用最好的服务器和带宽为客户提供反向代理和安全检测服务,但是在使用过程中,个别用户的请求出现了502或者504。因此我们团队也经常受到用户的反馈,这里可以大致和大家澄清一下相关知识点。 0x01 定义 通过阅读nginx的源码,备注:我这里查看的是openresty中nginx-1.11.2的源代码,我们发现502和504的定义。 ngx_http_request...
配置错误 不能在此路径中使用此配置节(转)
weixin_30597269的博客
11-03 338
win7 iis7.5 配置ASP错误一例 2010-12-10 13:54 配置错误 不能在此路径中使用此配置节。如果在父级别上锁定了该节,便会出现这种情况。锁定是默认设置的(overrideModeDefault="Deny"),或者是通过包含 overrideMode="Deny" 或旧有的 allowOverride="false" 的位置标记明确设置的。 配置文...
waf域名访问报504错误的排查
最新发布
ajax_beijing_java的博客
01-26 420
仔细分析防火墙日志发现,504均为节点与客户源站建联时响应超过15s,现将响应超时时间由15s改为300s。域名的访问流程:域名-cname-火墙-负载均衡-后端-nginx-VPN-跳转到我们线下系统。但是客户发现,域名的访问方式仍有504的报错,发现有些查询耗时大概10分钟。问题现象,单独走负载均衡、单独走nginx跳转、单独访问系统没有问题。
Windows Networking 6: 关于标准的一些事,WAF和IIS服务器HTTPS工作异常问题 ...
weixin_34384557的博客
12-26 174
IIS Web Service 也算是一个主流的HTTP服务软件,有不少MS系的应用在IIS上运行、也有用户使用IIS提供的平台运行他们.Net Framework开发的应用程序。当然,为了网站安全,不少用户选择在IIS server前放一层WAF避免攻击。而这次,我们的一个用户遇到了一个有意思的问题, 问题现象 IIS Web service,上面运行...
WAF的识别、检测、绕过原理与实战案例
2301_81250923的博客
11-30 1119
WAF通过配置DNS解析地址、软件部署、串联部署、透明部署、网桥部署、反向代理部署、旁路部署等获取攻击流量,基于规则进行攻击特征匹配,或利用其他方式进行攻击检测及阻断。
排查Nginx-no live upstreams错误
xwzj1994的博客
07-29 6953
no live upstreams while connecting to upstream
nginx报错no live upstreams while connecting to upstream
热门推荐
孙正_大正
11-27 2万+
前端请求后端服务时一直报错 502 bad gateway,查看后端的服务是正常启动的。后来又查看nginx的错误日志,发现请求后端接口时 nginx报错no live upstreams while connecting to upstream,查看该错误的解释可以得到的结果是upstream中没有可以提供服务的server ,即nginx已经发现不了存活的后端了,但是,我直接访问后端的server确是可以使用的,证明server端可用. 最后查找文档,发现问题出现在业务上要求保持会话,但是nginx到后
nginx偶发502 no live upstreams while connecting to upstream
servepeople的博客
03-09 2935
no live upstreams while connecting to upstream
no live upstreams while connecting to upstream [亲测解决]
ergouy's blog
03-07 1万+
最近学习了Nginx,做一些必要的笔记,一来是对自己学习的知识的巩固,二来对有同样问题的人有参考作用 文章目录一 常规错误二 我的错误三 总结 一 常规错误    一般Nginx报错“no live upstreams while connecting to upstream”,有以下几个原因: Nginx配置文件错误,导致Nginx转发异常; 检查配置文件,防止...
WAF-应用层攻击保护测试对比
09-12
对比启明星辰、绿盟、安恒等品牌WAF在应用攻击保护时的策略防护能力。 二. 测试步骤 2.1 环境漏洞验证 验证序号 1 验证方法 用and 1=1和and 1=2验证注入漏洞 测试步骤 1. 在浏览器打开...
常用图标库_绿盟.ppt
08-17
绿盟
绿盟售前工程师NSSP试题有带部分答案
11-06
绿盟售前工程师NSSP试题 ,115题 带部分答案, ,准备考绿盟售前工程师的朋友,可以看看!很有用!
绿盟科技300369公司深度报告:公司发展迎来三重拐点.rar
09-06
绿盟科技300369公司深度报告:公司发展迎来三重拐点
常见漏洞知识库(原理/场景/修复)
lefooter的博客
04-30 5846
SQL 注入 0x01 漏洞描述 SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法校验(类型、长度、业务参数合法等),同时没有对用户输入数据进行有效地特殊字符过滤,使得用户的输入直接带入数据库执行,超出了SQL语句原来设计的预期结果,导致了SQL注入漏洞。 0x02 常见应用场景 SQL注入漏洞可能出现在一切与数据库交互的地方,比如常见的查询用户信息、查询订单信...
DDOS防御抗D平台方案
lefooter的博客
04-10 2695
1 抗D平台需求分析 1.1 网站服务拓扑示意图 如上示意图,存在三个方面可能被攻击的点: 递归DNS服务器 这个点在运营商环境里,且全网分布众多,攻击成功存在一定的难度。但目前已经有类似的攻击成功案例,即攻击者针对一个个递归服务器进行攻击,攻击的目标是同一个域名,导致各个递归服务器运行很艰难,服务器的维护者会采取的措施是简单粗暴的过滤这一域名的所有请求,从而达到全网不响应该域名请求的结果。...
CSV XLS 表格命令注入执行
lefooter的博客
03-03 2513
0x01 概述 现在很多应用提供了导出电子表格的功能(不限于 Web 应用),早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险,因为导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。攻击方式类似于 XSS :所有的输入都是不可信的。 0x02 公...
中间件Apache/JBoss 隐藏服务器版本信息
lefooter的博客
03-03 1721
在一般情况下,我们可以在http header里看到服务器构建的信息,如: Server : Apache/2.0.61 (Unix) X-Powered-By : Servlet 2.4; JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/Tomcat-5.5 这可能存在一些麻烦,如果让人知道软件版本,特别是在软件有b...
绿盟 waf 白皮书
10-24
绿盟WAF(Web应用防火墙)白皮书是一份关于绿盟WAF产品的详细介绍和说明。这个白皮书提供了对绿盟WAF的功能、特点和优势的详细描述,以帮助用户更好地了解该产品,并为用户在网络安全方面提供可靠的解决方案。 首先...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lefooter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值