甲方又报警了：443 端口“消失”之谜——一次境外 HTTPS 被墙的血泪排查录

一、故障背景（一句话版本）

晚上 21:00，用户群炸锅： “小程序打不开图片了！” “网页白屏！” 我打开监控，发现所有 境外 HTTPS 请求 443 端口集体 Timeout，境内服务安然无恙。 ——得，经典“被墙”套餐。

二、现场环境（省得你问）

三、复现姿势（3 行命令）

# 1. 本地 dig 一把
dig cdn.anonl.cn +short
104.21.4.99        # Cloudflare IP，正常

# 2. curl 直接测
curl -I https://cdn.anonl.cn/logo.png
#  hangs 30 s → Connection timed out

# 3. 换 80 端口
curl -I http://cdn.anonl.cn/logo.png
#  200 OK，瞬间返回

结论：80 能通，443 被丢包，典型的“协议阻断”。

四、排查流水账（按时间线直播）

五、根因定位（甩锅给 GFW 的实锤）

1. 只在中国大陆方向 443 被丢包
2. 换 IP 无效 → 不是 IP 封，是 SNI 特征封
3. 把 cdn.anonl.cn 改成 假域名 cdn.anonl.xyz（境外解析相同 IP）→ 立即复活
4. 再改回原名 → 继续 timeout

实锤：SNI 字段命中了某关键字，被 RST 复位。

六、应急止血（10 分钟搞定）

方案 A： 域前置（Domain Fronting）——用 Cloudflare 的大牌域名当跳板

Client Hello SNI = cf-cache.xxxxx.com
Host 头 = cdn.anonl.cn

成本 0，5 分钟生效，甲方先睡觉。

方案 B： 境内 CDN 全量接管——把图片预热到阿里云 CDN，443 走国内节点，境外源站当备份。 （次日白天再搞，省的半夜背锅）

七、复盘小结（拿去写 PPT 直接贴）

1. 现象：境外 443 端口集体超时，80 正常 → 99% 被墙
2. 定位：mtr + openssl s_client 三板斧，10 分钟锁定丢包点
3. 验证：换域名 / 改 SNI / 境内 CDN 对比，排除业务故障
4. 应急：域前置兜底，用户侧 0 改动
5. 长久：
   • 敏感域名拆分，静态资源用“无公害”子域
   • 多 CDN 热备，自动 failover
   • 监控再加“SNI 探测”指标，下次比用户先知道

八、彩蛋：一行命令检测是否被墙

#!/bin/bash
domain=$1
echo | timeout 3 openssl s_client -connect ${domain}:443 -servername ${domain} 2>/dev/null
if [ $? -ne 0 ]; then
  echo "${domain} 443 被墙 or 服务挂"
else
  echo "${domain} 443 正常"
fi

保存为 wall-or-not.sh，以后值班先跑一遍，别再背冤枉锅。

九、结语

凌晨 2:30，甲方在群里回复： “图片又能看了，你们运维真玄学。” 我默默把聊天记录截图扔进“年度背锅图鉴”。

443 端口不会无缘无故消失，它只是在 GFW 的黑名单里旅了个游。 记住这篇流水账，下次 10 分钟定位，5 分钟止血，剩下的时间—— 去睡觉，别和墙较劲。