一、名词解释
- 权威DNS:在域名注册商处所设置的 DNS 服务器(配置的NS记录),用于该域名自身解析的管理。
- 域名授权体系:域名的DNS解析过程中存在的所有DNS解析服务器,如域名CNAME方式接入云防御后,域名的权威DNS会解析到云防御提供的CNAME值,此时域名授权体系包含权威DNS服务器、CNAME值的解析服务器和顶级域名的解析服务器。
- 域名级别:网址分类标准,包括顶级域名、二级域名等。一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号“.”分隔,倒数第一个“.”的右边部分称为顶级域名(TLD,也称为一级域名),顶级域名的左边部分字符串到下个“.”为止称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制下一级域名的分配。
- 纯IPv6环境:IPv6单栈环境,在双栈环境下关闭Internet协议版本4即为IPv6单栈环境,如图所示。
二、排查原因及解决方法
如业务系统已接入知道创宇云防御平台并开通IPv6服务,可通过以下方法进行排查和调整,如业务系统暂未使用知道创宇云防御IPv6服务,可联系商务经理开通使用。
1.业务系统本身原因导致IPv6检测未通过。
原因:
- 检测工具检测时业务系统可用性异常。
- 业务系统首页返回非200状态码。
解决方法:
在纯IPv6环境下进行Ping域名测试和浏览器访问测试,对比测试结果。
- 若测试结果为纯IPv6环境下使用浏览器可正常访问且响应状态码为200。则业务系统本身支持IPv6访问,也不会因为状态码影响检测工具的判断,可排除业务系统自身问题。
- 若纯IPv6环境下能正常访问业务系统,但响应状态码为非200状态。可能因状态码非200导致检测异常,状态码若为30x,可使检测工具直接检测重定向后的地址,若为50x,可联系知道创宇云防御技术人员协助排查。
- 若纯IPv6环境下可以Ping通但浏览器显示连接失败。可能是云防御节点拦截导致检测异常,可联系知道创宇技术人员协助排查。
- 若纯IPv6环境下无法Ping通业务系统,可联系知道创宇云防御技术人员协助排查。
2.DNS原因导致IPv6检测未通过。
原因:
- 权威DNS不支持IPv6解析。
- 域名授权体系中存在其他DNS解析服务器不支持IPv6解析。
解决方法:
目前顶级域名的解析服务器均已支持IPv6,云防御平台提供的DNS服务器和对应的域名授权体系也已支持IPv6,故只需验证业务系统域名的权威DNS是否支持IPv6即可。使用dig解析命令可进行验证判断。
- dig 域名 +trace:获取当前域名的权威DNS服务器。
- dig 权威DNS AAAA:权威DNS如能解析出IPv6的地址,则证明其支持IPv6,否则证明不支持,需联系权威DNS服务商进行核实与调整。
3.检测工具出口IP被拦截导致IPv6检测未通过。
原因:
- IPv6检测工具检测时存在攻击特征导致检测请求被拦截。
- 业务系统访问架构中云防御节点前部署了代理服务器,代理服务器将IPv6请求转发至云防御节点时因请求频繁导致被云防御平台识别为CC攻击进行封禁。
解决方法:
- 登录知道创宇云防御平台,下载并过滤检测时间点的日志,如日志中存在云防御平台拦截检测工具出口IP的记录,可将其添加至IP白名单再重新检测,如日志中未出现拦截记录,则可能是业务系统部署的其他防护设备进行了拦截,可联系相关技术人员进行排查。
- 特殊场景导致出现被云防御平台在网络层封禁情况,可联系知道创宇技术人员协助排查。
4.其他原因导致IPv6检测未通过。
原因:
- 网站二级/三级链接IPv6浓度未达标。
- IPv6检测工具检测时存在异常。
解决方法:
- 如检测工具判断二级/三级链接时包含外链,此时外链也需支持IPv6访问,知道创宇云防御提供了IPv6天窗功能来实现该场景。若检测不包含外链可能为二级/三级链接中存在较多坏链导致,请检查业务系统坏链情况。
- 如以上所有原因排查后均正常,可能是检测工具在检测时出现异常,可重新检测或更换检测工具进行测试。
相关链接:
IPv6改造服务使用说明:http://help.yunaq.com/faq/4336/index.html
IPv6防护服务使用说明:http://help.yunaq.com/faq/4327/index.html