今天突然遇到一个很离谱的 AWS Lightsail 网络问题,想问问各位大佬有没有遇到类似情况。
我原本有一台 Lightsail,新加坡区域,之前一直正常。今天突然发现机器好像能 ping,但不能正常联网:
- ping 外网正常,比如
1.1.1.1、Google 都能 ping 通; - DNS 解析也正常;
- Lightsail 网页版 SSH 可以进去;
- 但是
curl、nc访问外部 TCP 服务全部超时; - 有时候公网 SSH 直连也不正常,只能靠 Lightsail 网页 SSH 进去。
一开始我以为是原机器系统、防火墙、Docker、快照或者我自己配置炸了。结果后面越测越不对。
我测试过的区域有:
- 新加坡:
ap-southeast-1 - 东京:
ap-northeast-1 - 首尔:
ap-northeast-2 - 法兰克福:
eu-central-1
其他区域还没测。
我还专门新开了完全干净的机器测试,不是从快照恢复的那种:
- 全新 Amazon Linux 2023 Lightsail
- 全新 CentOS 9 / CentOS Stream 9 Lightsail
结果还是一样,ping 正常,但是 TCP 出站不通。
测试命令大概是这些:
curl -4v --connect-timeout 5 --max-time 10 https://1.1.1.1/cdn-cgi/trace
curl -4v --connect-timeout 5 --max-time 10 https://api.ip.sb/ip
curl -4v --connect-timeout 5 --max-time 10 https://www.google.com/generate_204
nc -vz -w5 1.1.1.1 443
nc -vz -w5 8.8.8.8 53
nc -vz -w5 google.com 443
ping -c 4 1.1.1.1
ping -c 4 google.com
结果就是:
ping正常;- DNS 正常;
curl和nc全部 TCP 超时。
我还抓包看了一下:
sudo tcpdump -ni ens5 'host 1.1.1.1 and (icmp or tcp port 443)'
抓包看到的现象大概是:
ICMP echo request 发出去
ICMP echo reply 能收到
TCP SYN 发往 1.1.1.1:443
TCP SYN 重传
TCP SYN 重传
但是一直收不到 SYN-ACK
也就是说,不是 DNS 不行,也不是包发不出去。ICMP 是双向正常的,TCP SYN 也确实从实例网卡发出去了,但是回不来 SYN-ACK。
防火墙我也排查过:
- Lightsail 面板防火墙已经临时开成所有协议、所有端口、所有来源;
- 系统内部防火墙也看过;
- 全新官方系统镜像上没有 Docker、没有代理服务、没有自定义应用;
- 问题依然复现。
所以现在看起来不像是我系统里的问题,更像是 AWS Lightsail 账号级别、网络层、NAT、公网 IP、风控或者某种限制。
想问下各位大佬:
- 今天有没有人遇到 Lightsail 类似问题?
- 这种 ping 通但 TCP 出站超时,会不会是 AWS 账号被限制或者 abuse 风控了?
- 如果是账号级限制,一般 AWS 会在哪里通知?邮箱、Health Dashboard 还是 Support Center?
- 免费/基础支持账号遇到这种情况,应该怎么联系 AWS?
- 还有没有什么测试方法能进一步确认是账号问题还是 Lightsail 平台问题?
我现在比较迷,因为连全新系统、多个区域都能复现,感觉不像是我自己的机器配置问题了。
今天我的一个机器吃了一个abuse,我也没装哪吒探针,不知道为啥
没遇到过。
正价AWS分销 没遇到你说的情况。
破案了,哪吒导致的abuse
一晚上吃了8个abuse