一、先明确排查目标排查网络问题前先别急着改配置。建议先问四个问题1. 是所有人打不开还是只有我打不开 2. 是域名打不开还是 IP 也打不开 3. 是整个网站打不开还是某个端口或接口异常 4. 是一直失败还是偶尔失败这四个问题能帮你把故障范围缩小到几个方向现象可能方向只有自己打不开本机 DNS、本地网络、代理、防火墙所有人都打不开服务器、域名解析、CDN、证书、端口域名不通但 IP 通DNS 或 CDN 调度IP 也不通网络路径、服务器防火墙、服务未监听偶尔失败抖动、丢包、后端负载、连接超时稳如狗网络工具箱适合放在这个流程的第一步先从外部视角看域名、端口、延迟和响应状态避免只站在自己电脑上判断。二、第一步查 DNS 解析是否正常域名访问异常第一件事通常是看解析。可以先在在线工具里查A 记录AAAA 记录CNAME解析 IPTTL不同 DNS 服务器结果是否一致然后再用本机命令交叉验证。Windowsnslookup www.wenrugou.net nslookup example.com 223.5.5.5 nslookup example.com 8.8.8.8Linux/macOSdigexample.comdig223.5.5.5 example.comdig8.8.8.8 example.com重点看几个信息字段怎么判断解析是否成功如果返回 NXDOMAIN先查域名配置IP 是否正确看是否解析到预期服务器或 CDN不同 DNS 是否一致不一致可能是缓存、污染或调度差异TTL 是否异常TTL 太长会导致旧记录长时间不更新如果在线工具能解析本机解析失败多半是本地 DNS 或网络环境问题。如果在线工具和本机都解析失败就要回到域名服务商检查解析记录。三、第二步Ping 只能看基础连通性Ping 很常用但它只能说明 ICMP 层面的基础连通性并不能代表 HTTP、HTTPS 或具体业务一定正常。Windowsping example.com-n 20Linux/macOSping-c20example.com观察结果时不要只看平均值。更应该看是否丢包最大延迟是否很高延迟是否忽高忽低是否偶发超时比如平均延迟35ms 最大延迟980ms 丢包率0%这并不代表网络很好。最大延迟接近 1 秒说明链路可能有明显抖动对接口请求、远程桌面和实时通信都会有影响。如果在线工具的 Ping 正常但你本机 Ping 异常说明问题可能在本地网络、运营商路径或本机配置。四、第三步检查端口是否开放网站打不开时很多人只看域名和 Ping却忘了端口。一个服务器可能IP 能 Ping 通但 80/443 端口未开放。端口开放但后端服务没启动。本地防火墙放行了 ICMP但拦截了 TCP。云服务器安全组没有放行对应端口。Windows 可以用Test-NetConnectionwww.wenrugou.net-Port 443Test-NetConnectionexample.com-Port 80Test-NetConnectionexample.com-Port 22Linux/macOS 可以用nc-vzexample.com443nc-vzexample.com80或者telnet example.com443判断结果结果说明TCP connect succeeded端口可连通timed out可能被防火墙拦截或路径不通refused主机可达但端口没有服务监听no route to host路由或网络层面异常在线端口检测工具的价值在于它能从外部网络发起连接。如果本机不通、在线工具通说明服务器可能没问题问题更可能在本地网络或运营商路径。五、第四步检查 HTTP 状态码和响应头端口通不代表网站正常。HTTPS 端口开放只能说明能建立 TCP 连接。真正的 Web 服务还要看 HTTP 状态码、证书、重定向、响应头。命令行可以用curl-Ihttps://www.wenrugou.netcurl-Ihttps://example.com常见状态码状态码含义200正常301/302重定向403权限或防护策略拦截404路径不存在500服务端异常502网关或反向代理异常503服务不可用504网关超时如果在线 HTTP 检测返回 200但本机浏览器打不开可能是本地代理、DNS 缓存、浏览器缓存或安全软件干扰。如果在线检测也返回 502/504就要重点查反向代理、上游服务和服务器负载。六、第五步路由追踪判断路径是否绕远当 DNS、端口、HTTP 都没明显问题但访问仍然慢就需要看路径。Windowstracert example.comLinux/macOStracerouteexample.com如果安装了 MTRmtr-rwzc100example.com路由追踪主要看哪一跳开始延迟明显升高是否跨运营商绕路是否出现连续超时终点是否丢包同一目标不同时间路径是否变化需要注意中间节点不回复 ICMP 很常见单个中间节点星号不一定代表故障。更重要的是终点是否异常以及某一跳之后是否持续变差。七、在线工具和本机命令怎么配合推荐用下面这种方式1. 在线 DNS 查询确认外部解析是否正常 2. 本机 nslookup/dig确认自己电脑解析是否一致 3. 在线 Ping确认外部网络到目标是否正常 4. 本机 Ping确认本地链路是否异常 5. 在线端口检测确认服务端端口是否开放 6. 本机端口检测确认本机到服务端是否可达 7. 在线 HTTP 检测确认服务响应状态 8. 本机 curl拆解响应头和状态码这样可以形成一个很清晰的判断在线结果本机结果判断正常正常基础网络大概率正常继续查业务正常异常本机、运营商或本地 DNS 问题异常正常在线检测节点到目标路径异常异常异常目标服务或域名配置问题概率高稳如狗网络工具箱的优势在于把这些常见检测入口集中到一起适合先做外部视角的快速判断再决定是否需要深入抓包或登录服务器。八、一个完整排障案例假设用户反馈网站偶尔打不开刷新几次又好了。可以按这个步骤查1. 查 DNS确认解析 IP 是否稳定 2. 查 Ping看是否存在明显延迟尖峰 3. 查端口确认 80/443 是否持续开放 4. 查 HTTP看是否偶发 502/504 5. 查路由看是否某个时间段路径变化 6. 查服务器日志对比异常时间点本机记录命令for($i1;$i-le10;$i){curl.exe-I-s https://example.comStart-Sleep-Seconds 3}如果发现偶尔返回 504那么问题不一定在用户网络可能是网关到后端服务超时。如果 HTTP 状态一直正常但用户访问慢继续看 DNS、CDN、路径和本机环境。九、建议保存排障记录排障时最好不要只截图要留下结构化记录。可以用一个简单表格time,target,dns_ip,ping_avg,ping_max,port_443,http_code,note 10:00,example.com,203.0.113.10,32,88,true,200,normal 10:10,example.com,203.0.113.10,35,620,true,200,latency spike 10:20,example.com,203.0.113.10,34,90,true,504,gateway timeout有了记录后续和云厂商、运营商、开发同事沟通都会更清楚。十、总结网络排障不一定要复杂。基础问题可以先从 DNS、Ping、端口、HTTP 状态和路由追踪这五个方向入手。比较推荐的思路是先用在线工具从外部视角做快速检查再用本机命令做交叉验证最后根据结果判断是本地问题、链路问题、服务端问题还是域名配置问题。稳如狗网络工具箱比较适合作为日常排障的第一站把常见检测能力集中起来减少临时找工具、装工具、切换工具的时间。对开发者和站长来说先把问题定位到正确方向比盲目修改配置更重要。参考资料免费的稳如狗网络工具箱https://www.wenrugou.net/toolsDNS over HTTPS 标准 RFC 8484https://www.rfc-editor.org/rfc/rfc8484DNS over TLS 标准 RFC 7858https://www.rfc-editor.org/rfc/rfc7858EDNS Client Subnet 标准 RFC 7871https://www.rfc-editor.org/rfc/rfc7871