某银行首页使用ie11 通过百度搜索引擎进入偶尔出现502bad gateway排查

一、故障现象

        用户反映使用IE11浏览器，通过百度搜索引擎搜索“XX银行”，通过搜索结果点击进入该银行门户，当点击其他某些连接的时候，偶尔会出现“502bad gateway”错误。

         经测试验证“502bad gateway”此错误是中间某个SLB返回的错误。但是，SLB返回这个错误是因为后端应用不可用才会出现此错误，slb启用了cookie会话保持。

         接下来的问题是，如何验证这个问题，如何定位这个问题，是否与是SLB造成的？还是其他设备的问题？

二、结构

（拓扑图暂不分享）大致结构如下

    gslb+slb +ips +waf+ips......一系列安全设备

三、测试过程

1）、ie11 使用baidu搜索引擎，搜索“XX银行”点击搜索结果XX银行官网。

2）、XX银行官网首页可以打开。

3）、点击其他链接出现502badgateway。

4）、整个测试过程中使用fiddler抓包。

四 、测试结果分析：

1）、第一次访问wwwXXbank.com.cn

     从fidder抓包可以看到 response set-cookie正常

     cookie值Response sent 77 bytes of Cookie data:

      Set-Cookie: jilin=aefab2238351dac44e6db32b88862cd9; Expires=Fri, 17-May-2019 02:15:51 GMT

2）、红框标记的这个请求开始，客户端发起的请求多了一些cookie，此时的cookie中出现了baidu.com字段。

3）、最后一个get正常携带cookie的请求分析

   可以看到SLB没有对cookie做任何修改，所以SLB工作是正常的。

4）、cookie值中出现baidu字段的后由于cookie值发生变化，出现“bad getway”

所以，通过上述分析，cookie中的百度字段不是SLB插入的，应该是浏览器插入的。

5）出现502的原因

      从安全角度分析，在会话交互过程中，cookie的值一般是不会发生变化的。如果发生变化，可能是http协议层针对cookie的攻击，因此，结合用户网络结构，最终把稳定定位到WAF上。

6）查看waf日志

      通过在waf上查看拦截日志，确认waf拦截了cookie中带有www.baidu.com字段的请求。

      原因是“检测到匹配远程文件包含”

7）验证测试

     修改waf的对应策略，再次测试，“502 badgateway ”故障消失

结论：

        出现这个问题原因应该是一些搜索引起把自己的域名作为cookie值插入到了用户的浏览器中。这应该是一种商业目的。问题最终圆满解决。