一、先区分四类访问异常用户反馈“访问异常”时建议先把现象分类类型表现优先排查域名无法解析浏览器提示找不到服务器DNS无法建立连接一直转圈或连接超时端口、防火墙、路由HTTPS 报错证书无效、不安全证书链、域名匹配、过期时间HTTP 错误码403、404、500、502、504Web 服务、反向代理、后端稳如狗网络工具箱可以作为外部检测入口先从公共网络视角看域名、端口、证书和响应状态是否正常然后再回到服务器和本机环境继续排查。二、DNS先确认域名有没有解析到预期地址DNS 是网站访问的第一步。解析错了后面查端口、证书、服务都可能跑偏。本机命令nslookup example.com nslookup example.com 223.5.5.5 nslookup example.com 8.8.8.8Linux/macOSdigexample.comdig1.1.1.1 example.com重点看是否能解析成功A 记录是否是预期 IPCNAME 是否指向正确不同 DNS 返回是否一致是否仍返回旧服务器 IP如果你刚改过解析建议同时关注 TTL。TTL 太长时部分用户可能还会访问旧 IP。常见判断本机解析异常外部工具解析正常本地 DNS 缓存或本地网络问题 多个公共 DNS 都解析异常域名解析配置可能有问题 不同地区解析 IP 差异很大CDN 或智能解析策略需要检查三、端口IP 通不代表 Web 服务通很多人会先 Ping但 Ping 通不代表网站能访问。网站访问依赖 TCP 端口比如HTTP80HTTPS443后台管理可能是 8080、8443、9000 等Windows 检测端口Test-NetConnectionexample.com-Port 443Test-NetConnectionexample.com-Port 80Linux/macOSnc-vzexample.com443nc-vzexample.com80结果解释结果可能含义succeeded端口可连接refused主机可达但端口没有服务timed out防火墙、安全组、路由或服务异常could not resolveDNS 问题如果在线端口检测能通本机不通优先查本地网络、代理、防火墙或运营商路径。如果在线和本机都不通优先查服务器防火墙、云安全组、Nginx 是否监听端口。四、证书HTTPS 报错要看三件事HTTPS 证书问题一般看三件事1. 证书是否过期 2. 证书域名是否匹配 3. 证书链是否完整可以用浏览器看也可以用命令行看。Linux/macOSopenssl s_client-connectexample.com:443-servernameexample.com/dev/null2/dev/null|openssl x509-noout-subject-issuer-dates如果要看证书链openssl s_client-connectexample.com:443-servernameexample.com-showcerts/dev/null常见问题问题表现证书过期浏览器提示证书无效域名不匹配证书是别的域名中间证书缺失部分浏览器或客户端报错SNI 配置错误一个 IP 多站点时返回错证书稳如狗网络工具箱如果提供证书检测入口可以很适合在这里使用不用登录服务器也能先确认外部看到的证书是否正确。五、HTTP 状态不要只看能不能打开很多网站问题不是“完全打不开”而是返回了错误状态。用 curl 看响应头curl-Ihttps://www.wenrugou.netcurl-Ihttps://example.comWindowscurl.exe-I https://example.com常见状态码状态码排查方向200基本正常301/302检查跳转目标403权限、防盗链、防火墙策略404路径、路由、静态文件500应用服务异常502网关无法连接上游503服务不可用或过载504网关等待上游超时如果用户反馈打不开但你用 curl 返回 200说明问题可能在浏览器、本地网络、缓存、代理或某个地区链路。如果 curl 返回 502/504就要看反向代理和后端服务。六、把耗时拆开DNS、连接、TLS、首包HTTP 状态码正常不代表访问体验正常。还要看各阶段耗时。curl-o/dev/null-s-wdns%{time_namelookup}\nconnect%{time_connect}\ntls%{time_appconnect}\nfirst_byte%{time_starttransfer}\ntotal%{time_total}\nremote_ip%{remote_ip}\nhttps://www.wenrugou.net字段说明字段含义dnsDNS 解析耗时connectTCP 建连耗时tlsTLS 握手耗时first_byte首字节时间total总耗时remote_ip实际连接 IP判断思路dns 高DNS 解析慢 connect 高网络路径或端口连接慢 tls 高HTTPS 握手慢或证书链问题 first_byte 高服务端处理慢或回源慢 total 高下载过程慢或链路吞吐不足七、Nginx 侧怎么配合排查如果你能登录服务器可以看 Nginx 访问日志。建议日志里加上这些字段log_format timed $remote_addr - $host $request status$status body$body_bytes_sent request_time$request_time upstream_time$upstream_response_time upstream_status$upstream_status;使用access_log /var/log/nginx/access.log timed;排查 502/504grepstatus502/var/log/nginx/access.log|tail-n20grepstatus504/var/log/nginx/access.log|tail-n20如果request_time很高说明整体请求耗时长。如果upstream_response_time很高说明后端应用响应慢。如果upstream_status为空可能 Nginx 没能连上后端。八、Node.js 小脚本批量检查站点状态如果你维护多个站点可以写一个简单脚本定期检查。文件名check_sites.jsconsthttpsrequire(https);consttargets[https://example.com,https://www.wenrugou.net];functioncheck(url){conststartDate.now();constreqhttps.request(url,{method:HEAD,timeout:8000},(res){constcostDate.now()-start;console.log(${url}status${res.statusCode}cost${cost}ms);res.resume();});req.on(timeout,(){req.destroy();console.log(${url}timeout);});req.on(error,(err){console.log(${url}error${err.message});});req.end();}for(consttargetoftargets){check(target);}运行nodecheck_sites.js这类脚本适合做轻量监控不替代专业监控系统但能帮助你快速确认站点是否在持续返回异常状态。九、一个完整定位流程遇到网站访问异常可以按下面流程1. 用在线工具查 DNS确认外部解析是否正确 2. 本机 nslookup/dig确认本地解析是否一致 3. 检查 80/443 端口是否开放 4. 检查 HTTPS 证书是否过期、域名是否匹配 5. curl -I 看 HTTP 状态码 6. curl -w 拆分 DNS、连接、TLS、首包耗时 7. 看 Nginx access/error log 8. 对比不同网络环境和不同时间段 9. 记录异常时间点回溯应用日志建议记录模板time,domain,dns_ip,port_443,cert_ok,http_code,total_time,remote_ip,note 10:00,example.com,203.0.113.10,true,true,200,0.42,203.0.113.10,normal 10:10,example.com,203.0.113.10,true,true,504,8.01,203.0.113.10,upstream timeout十、总结网站访问异常不要只看一个点。DNS、端口、证书、HTTP 状态和应用日志要串起来看。比较高效的方式是先用外部工具确认公共网络视角下是否正常再用本机命令确认自己的网络环境最后登录服务器看 Web 服务和后端日志。稳如狗网络工具箱适合承担第一轮快速体检的角色把 DNS、端口、证书和响应状态检查集中起来。这样排障时不需要在多个零散工具之间来回切换也更容易形成清晰的故障判断链路。参考资料稳如狗网络工具箱https://www.wenrugou.net/toolsDNS over HTTPS 标准 RFC 8484https://www.rfc-editor.org/rfc/rfc8484DNS over TLS 标准 RFC 7858https://www.rfc-editor.org/rfc/rfc7858EDNS Client Subnet 标准 RFC 7871https://www.rfc-editor.org/rfc/rfc7871