OpenAPI域名已经于5月底将DNS解析到自研WAF,但是目前发现还有部分流量来自长亭WAF。分析这部分流量主要是由于客户端侧调用OpenAPI域名时配置了hosts或者写死了IP,需要客户端侧尽快修改,避免长亭WAF下线影响客户业务。
排查方法:
1、根据来源IP去对应机器 ping 调用域名
如果ping 对应域名返回的IP为 203.56.24.243或113.125.221.130,则证明是通过长亭WAF来调用API,需要检查是否配置了hosts。如果是,则需要修改。如下图
ps :如果解析返回是
c670043890854bd69XXXXXXXXXX.ctyunsafewaf1.ctyun.cn.ctbcdn.com这种,则说明是通过公网DNS获取解析,无需修改。
2、 如果是通过代理的方式访问API,则需要检查代理的配置是否填写了长亭WAF IP 203.56.24.243或113.125.221.130。如果是,则需要修改。
3、 DNS解析变了之后,但是客户侧的服务或者应用缓存了原来旧的IP,需要重启服务或应用。
OpenAPI提供的数据是10月10日--11月10日的统计,有数据说明一定有经过长亭WAF过来请求。如果按方法1、2还没排查到,那就说明有可能该情况。
优化建议:
1、 (推荐)去掉hosts配置,从DNS解析获取对应IP。
2、 (不推荐) 调整为自研WAF IP地址,不推荐这么配置,因为存在单IP故障的风险,OpenAPI使用的自研WAF解析是返回多IP的。
