apache - 网站 ERR_CONNECTION_RESET - 客户端未向服务器发送 SSL hello 数据包

Question

我在运行 Apache 2.4.6 的 Centos 7.4 上有一个网站

一位用户报告说他们无法在他们的移动设备上访问该网站(截至最近几天)。我能够在 Android Pixel 上重现此问题。当我使用移动 4G 网络时，如果我尝试转到该网站的任何页面，我会立即收到一个 ERR_CONNECTION_RESET 页面。当我在手机上使用家庭 WIFI 网络时，使用相同的浏览器，我可以按预期查看所有页面。

我在此设备上的 Chrome 和 native 浏览器上进行了测试，结果相同。

我在 apache 中启用了 SSL 日志记录(ssl_engine、ssl_access 和 ssl_error)，但这些日志(也不是一般的 httpd 错误日志)都没有显示与此问题相关的任何内容。我想连接没有到达 apache？

firewalld 日志中也没有与此相关的内容(尽管我不确定它是否会记录此类内容？)。

我也为移动网络 IP 搜索了 fail2ban 日志，但一无所获。

我还使用 Wireshark/Tshark 来分析数据包。比较我使用 WIFI 访问网站时(它按预期连接)和当我使用移动 4G 网络(它无法连接)时的输出。

  2 0.000065217 [Server IP] -> [Client IP] TCP 74 https > 63878 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1460 SACK_PERM=1 TSval=244522926 TSecr=140533229 WS=128
  3 0.003907594 [Client IP] -> [Server IP] TCP 74 63879 > https [SYN] Seq=0 Win=65535 Len=0 MSS=1326 SACK_PERM=1 TSval=140533229 TSecr=0 WS=256
  4 0.003951717 [Server IP] -> [Client IP] TCP 74 https > 63879 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1460 SACK_PERM=1 TSval=244522930 TSecr=140533229 WS=128
  5 0.154191732 [Client IP] -> [Server IP] TCP 66 63879 > https [ACK] Seq=1 Ack=1 Win=87808 Len=0 TSval=140533290 TSecr=244522930
  6 0.165703034 [Client IP] -> [Server IP] TCP 66 63878 > https [ACK] Seq=1 Ack=1 Win=87808 Len=0 TSval=140533290 TSecr=244522926
  7 0.187358660 [Client IP] -> [Server IP] TCP 56 63879 > https [RST, ACK] Seq=1 Ack=1 Win=8222720 Len=0
  8 0.204245316 [Client IP] -> [Server IP] TCP 56 63878 > https [RST, ACK] Seq=1 Ack=1 Win=8222720 Len=0

这是就移动网络上的连接而言。我们永远不会进入下一阶段，即 WIFI 上的“SSL 571 客户端问候”(客户端向服务器发送问候)。

关于可能导致此问题的原因的任何想法，或者我可以进一步调试此问题的方法？

Answer 1

经过几天摸不着头脑并花了很多时间研究和摆弄服务器配置后，我终于找到了这个错误的根源。

事实证明，该网站已被一些 ISP 屏蔽，他们决定现在将该网站视为包含成人内容(在其 10 年的历史中没有也从未遇到过此问题)。

他们不会提供任何类型的有用重定向来让用户知道他们为什么无法访问该站点，他们只是不发送问候数据包并出现 ERR_CONNECTION_RESET。

我必须说，这是我在调查的早期就想到的事情。然而，无济于事的是，当登录我的手机帐户时，它说成人内容过滤器已关闭。当我调用他们仔细检查时，我发现事实并非如此!

如果您认为这可能发生在您身上，请进行以下一些快速检查:

• 如果所有其他网站似乎都运行良好，请尝试访问成人网站，看看您是否也收到 ERR_CONNECTION_RESET
• 然后与您的 ISP 联系，看看它是否阻止了成人内容。