提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
Linux 
域名系统 
安全如何修复 Cloudflare 错误 520:完整诊断与解决指南
Cloudflare错误520是一个HTTP状态码,当Cloudflare的边缘网络从您的源服务器收到空的、意外的或无法解析的响应时返回。与表示网关超时或错误网关的502或504不同,520是Cloudflare对所有不符合任何已知HTTP规范的响应的统称——这意味着源服务器在技术上已响应,但其返回的内容无效、被截断或结构异常。
从实际角度来看,错误520意味着Cloudflare与您的源服务器之间的TCP连接已建立,但HTTP层握手失败。用户会看到一个Cloudflare品牌的错误页面,显示消息“Web server is returning an unknown error”——您的网站对他们来说实际上已无法访问。
触发错误520的原因:根本原因解析
在修改任何配置之前,了解确切的故障模式至关重要。错误520不是单一问题——它是一类症状。以下是最常见的原因,按生产环境中的发生频率排列。
源服务器返回没有HTTP状态行的空响应体。这是最常见的触发原因。Apache或Nginx可能在响应过程中崩溃,导致Cloudflare持有一个没有数据到达的开放TCP套接字。
防火墙或安全软件阻止了Cloudflare的IP范围。ModSecurity、Fail2Ban、CSF(ConfigServer Security & Firewall)或Wordfence等应用层插件可能会静默丢弃来自Cloudflare出口IP的数据包,导致连接在没有正确HTTP响应的情况下被重置。
Cloudflare与源服务器之间的SSL/TLS握手不匹配。如果Cloudflare设置为”Full (Strict)”模式,但您的源服务器拥有过期、自签名或配置错误的证书,则TLS协商会在任何HTTP数据交换之前失败。
HTTP响应头格式错误或过大。Cloudflare对响应头强制执行32 KB的硬性限制。任何单个响应头或超过此限制的组合响应头集都会导致520。这是编写不当的PHP应用程序将大量会话数据或调试输出转储到响应头中的常见边缘情况。
源服务器进程崩溃或OOM(内存不足)终止。如果Web服务器工作进程(例如Nginx工作进程或PHP-FPM池)在请求处理过程中被Linux OOM终止器终止,连接会突然断开。
在发送响应头之前发生应用程序级异常。在调用res.writeHead()之前发生的PHP致命错误、未处理的Python异常或Node.js崩溃,会导致Cloudflare无法解析的空响应。
源服务器重置连接(TCP RST)。源服务器主动重置TCP连接,Cloudflare将其解释为未知响应。
错误520与其他Cloudflare 5xx错误的对比
区分520与类似的Cloudflare错误可以避免浪费诊断精力。
| 错误代码 | 含义 | 主要原因 |
|---|
| — | — | — |
|---|
| 520 | 来自源服务器的未知/意外响应 | 空响应、格式错误的响应头、TCP RST |
|---|
| 521 | 源服务器拒绝连接 | 源Web服务器宕机;端口80/443未监听 |
|---|
| 522 | 连接超时 | 源服务器接受TCP连接耗时过长 |
|---|
| 523 | 源服务器不可达 | DNS解析失败或到源IP的路由问题 |
|---|
| 524 | 发生超时 | TCP已连接但源服务器响应耗时过长 |
|---|
| 525 | SSL握手失败 | TLS证书不匹配或密码套件不兼容 |
|---|
| 526 | SSL证书无效 | 源证书不受Cloudflare信任 |
|---|
| 502/504 | 错误网关/网关超时 | 上游代理或负载均衡器故障 |
|---|
如果您看到521,说明您的Web服务器进程未在运行。如果您看到524,说明您的应用程序正在运行但响应太慢。如果您看到520,说明服务器正在运行并有响应——但其返回的内容存在问题。
错误520的逐步修复方法
第1步:验证源服务器健康状况和连接性
在修改Cloudflare之前,请确认源服务器处于活动状态且Web服务器守护进程正在运行。
检查Web服务器进程是否处于活动状态:
# For Nginx
sudo systemctl status nginx
# For Apache
sudo systemctl status apache2
# For LiteSpeed
sudo systemctl status lsws测试与源IP的直接连接,绕过Cloudflare的代理。从Cloudflare DNS控制台获取您的源IP,然后直接测试:
curl -I --resolve yourdomain.com:80:YOUR_ORIGIN_IP http://yourdomain.com/
curl -I --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com/如果curl返回有效的HTTP状态(200、301等),则源服务器功能正常,问题出在Cloudflare到源服务器的通信层。如果curl返回空回复或连接重置,则问题出在源服务器端。
检查系统资源压力:
# Memory usage
free -h
# CPU load
uptime
# Check for OOM kills in the last boot
dmesg | grep -i "oom|killed process"
# Check for PHP-FPM pool exhaustion
sudo systemctl status php8.1-fpm第2步:检查源服务器错误日志
源服务器日志是最有价值的诊断来源。请勿跳过此步骤。
对于Nginx:
sudo tail -n 100 /var/log/nginx/error.log
sudo tail -n 100 /var/log/nginx/access.log对于Apache:
sudo tail -n 100 /var/log/apache2/error.log
sudo tail -n 100 /var/log/apache2/access.log重点查找:
[crit]或[emerg]级别的条目
upstream prematurely closed connection(Nginx + PHP-FPM)
Premature end of script headers(Apache + CGI/PHP)
worker_connections are not enough(Nginx工作进程达到限制)
记录到Web服务器错误日志中的PHP致命错误
将日志时间戳与520错误发生时间进行交叉对比。Cloudflare控制台中的Analytics > Traffic显示520峰值时间戳,可用于关联分析。
第3步:在防火墙中将Cloudflare IP范围加入白名单
如果防火墙阻止了Cloudflare的出口IP,连接将被静默重置。Cloudflare在https://www.cloudflare.com/ips/上发布其当前IP范围。
对于UFW(Ubuntu/Debian):
# Download Cloudflare IPv4 ranges and whitelist them
for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
sudo ufw allow from $ip to any port 80,443 proto tcp
done
# Repeat for IPv6
for ip in $(curl -s https://www.cloudflare.com/ips-v6); do
sudo ufw allow from $ip to any port 80,443 proto tcp
done
sudo ufw reload
对于CSF(ConfigServer Firewall):
将Cloudflare的IP范围添加到/etc/csf/csf.allow,然后重启CSF:
sudo csf -r
对于ModSecurity:如果您怀疑ModSecurity是问题所在,请检查其审计日志:
sudo tail -n 200 /var/log/modsec_audit.log
查找针对Cloudflare IP地址的规则匹配。您可以在ModSecurity配置中将Cloudflare IP加入白名单,或设置SecRemoteRules指令以将其排除。
重要提示:切勿永久禁用防火墙或ModSecurity。仅将Cloudflare发布的IP范围加入白名单,并在测试后立即重新启用所有安全控制。
第4步:审查并修复HTTP响应头
格式错误或过大的响应头是520错误中经常被忽视的原因。使用带有详细输出的curl来检查源服务器发送的确切内容:
curl -v --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com/ 2>&1 | head -80
注意以下情况:
包含非ASCII字符或控制字符的响应头
值极长的Set-Cookie响应头(常见于PHP会话配置错误)
缺失或格式错误的Content-Type响应头
具有冲突值的重复Content-Length响应头
如果您运行的是PHP应用程序,请检查php.ini中的output_buffering设置。禁用输出缓冲与响应过程中发生的致命错误相结合,可能导致响应头传输不完整。
特别针对WordPress网站:将大量数据注入HTTP响应头的插件(某些安全或缓存插件会这样做)可能会使响应头大小超过Cloudflare的32 KB限制。请审查活跃插件并在安全模式下进行测试。
第5步:验证Cloudflare SSL/TLS配置
Cloudflare与源服务器之间的SSL不匹配是导致520类故障的常见原因,通常表现为通用未知错误。
导航至Cloudflare控制台 > SSL/TLS > 概述并验证加密模式:
Cloudflare SSL模式
源服务器要求
推荐用于
—
—
—
关闭
源服务器无需SSL
从不推荐
灵活
源服务器无需SSL
仅限旧版设置;存在安全风险
完全
源服务器上的任何SSL证书(包括自签名)
开发环境
完全(严格)
源服务器上的有效可信SSL证书
所有生产网站
如果您的源服务器使用自签名证书而Cloudflare设置为完全(严格)模式,TLS握手将失败。请在源服务器上安装有效证书(免费的Let’s Encrypt证书即可),或在修复证书期间临时切换到完全模式。
如果您需要为源服务器提供受信任的证书,来自受信任CA的SSL证书可以彻底解决自签名证书问题,并与Cloudflare的完全(严格)模式兼容。
第6步:暂停Cloudflare代理以进行针对性诊断
临时从请求路径中移除Cloudflare,可以判断问题是出在Cloudflare的配置中还是源服务器上。
方法1:在特定DNS记录上禁用代理
在Cloudflare DNS控制台中,点击A记录或CNAME记录旁边的橙色云图标将其变为灰色。这将绕过Cloudflare的代理,同时保持通过Cloudflare进行DNS解析。DNS传播最多需要5分钟。
方法2:全局暂停域名的Cloudflare
导航至Cloudflare控制台 > 概述 > 高级操作 > 在网站上暂停Cloudflare。这将把所有流量直接路由到您的源服务器。
暂停后,测试您的网站。如果网站正常加载,则问题出在Cloudflare的配置中。如果仍然失败,则无论Cloudflare如何,问题都出在源服务器上。
测试完成后立即重新启用Cloudflare——暂停Cloudflare意味着您的网站将失去DDoS防护、CDN缓存和WAF覆盖。
第7步:检查DNS记录准确性
指向错误或过时IP地址的DNS A记录配置错误会导致Cloudflare将流量代理到错误的服务器,该服务器将返回意外响应。
在Cloudflare DNS控制台中:
验证根域名(@)的A记录是否指向您当前的源服务器IP
验证www的CNAME是否正确解析
如果您最近迁移了服务器,请确认旧IP在任何地方都不再被引用
确认Cloudflare实际将流量发送到哪个IP:
dig +short yourdomain.com @1.1.1.1
将此与您的实际源服务器IP进行比较。如果不同,请在Cloudflare中更新DNS记录。
第8步:扩展源服务器资源
如果您的源服务器持续处于高负载状态,当工作进程耗尽且连接被丢弃时,520错误将在流量峰值期间间歇性发生。
诊断资源耗尽:
# Check Nginx worker connections
sudo nginx -T | grep worker_connections
# Check PHP-FPM pool limits
cat /etc/php/8.1/fpm/pool.d/www.conf | grep -E "pm.|max_children"
# Monitor real-time connections
ss -s
无需硬件升级的调优选项:
在/etc/nginx/nginx.conf中增加worker_connectionspm.max_childrenkeepalive指令对于已超出共享基础设施承载能力的应用程序,迁移到VPS托管环境可让您完全控制工作进程限制、内存分配和内核级TCP调优——这些在共享计划中均不可用。
如果您的应用程序处理计算密集型工作负载(ML推理、视频处理、大型数据集操作)并导致工作进程间歇性崩溃,GPU托管可将这些任务从Web服务器进程中卸载,消除响应过程中崩溃的常见原因。
第9步:检查Cloudflare防火墙和安全规则
Cloudflare自身的安全功能有时会干扰合法的源服务器通信,特别是当自定义防火墙规则或WAF规则配置错误时。
检查Cloudflare控制台 > 安全 > WAF > 自定义规则,查看是否有规则在请求到达源服务器之前拦截了请求。同时检查安全 > 设置 > 浏览器完整性检查——在极少数情况下,这可能会对某些用户代理或自动化请求造成意外行为。
查看安全 > 事件日志,了解Cloudflare是否正在阻止或质询本应到达源服务器的请求。
第10步:升级至您的托管服务提供商或Cloudflare支持
如果以上所有步骤均已完成但问题仍未解决,请提供精确信息进行升级。
联系您的托管服务提供商时,请提供:
- 520发生的确切时间戳(来自Cloudflare Analytics)
- Web服务器错误日志的相关摘录
- 针对源IP执行
curl -v的输出结果 - 当前资源使用指标(CPU、RAM、连接数)
在独立服务器上运行托管基础设施的提供商可以执行内核级诊断、数据包捕获(tcpdump)和套接字级检查——这些在共享环境中均不可用。
联系Cloudflare支持时,请包含:
- 520错误页面中的Ray ID(在Cloudflare错误HTML中可见)
- 在错误发生期间从Chrome DevTools捕获的HAR文件
- 您当前的SSL/TLS模式和任何自定义防火墙规则
Ray ID至关重要——它允许Cloudflare的工程师提取您失败请求的确切边缘节点日志条目。
高级诊断:使用tcpdump捕获确切故障
对于抵抗标准故障排除的持续性或间歇性520错误,在源服务器上进行数据包捕获可以准确揭示Cloudflare连接时TCP/HTTP层发生的情况。
# Capture traffic from Cloudflare IPs on port 443
sudo tcpdump -i eth0 -w /tmp/cloudflare_capture.pcap 'src net 103.21.244.0/22 or src net 103.22.200.0/22 or src net 103.31.4.0/22 or src net 104.16.0.0/13 or src net 104.24.0.0/14' and port 443在Wireshark中打开生成的.pcap文件,并过滤tcp.flags.reset == 1以识别TCP RST数据包,这表明源服务器正在主动重置连接。过滤http以检查正在发送的任何部分HTTP响应。
这种级别的分析可以明确判断520是由防火墙RST、响应过程中的应用程序崩溃还是TLS失败引起的。
预防错误520:主动措施
被动故障排除代价高昂。以下措施可显著降低520发生的概率。
实施Cloudflare健康检查。在流量 > 健康检查下,针对您的源服务器配置健康检查。Cloudflare将在用户开始看到520错误之前向您发出警报。
启用Cloudflare的始终在线功能(在缓存 > 配置下)。虽然它不能修复根本问题,但在源服务器中断期间会向用户提供您页面的缓存版本,防止完全服务中断。
使用UptimeRobot、Pingdom或自托管解决方案(如Uptime Kuma)等工具设置源服务器监控。直接监控源IP(而非Cloudflare代理的域名),以独立于Cloudflare检测源服务器故障。
自动化Cloudflare IP白名单。Cloudflare的IP范围偶尔会变化。使用cron作业刷新您的防火墙白名单:
# /etc/cron.weekly/update-cloudflare-ips
#!/bin/bash
CF_IPS=$(curl -s https://www.cloudflare.com/ips-v4)
# Add logic to update UFW/CSF/iptables rules使用Cloudflare的经过身份验证的源服务器拉取。此功能将您的源服务器配置为仅接受提供Cloudflare客户端证书的HTTPS连接,阻止任何绕过代理直接访问源服务器的请求。这也消除了一类由非Cloudflare流量直接访问源服务器并触发安全软件响应而导致的520错误。
对于管理多个域名和Web应用程序的团队,带cPanel的VPS提供集中式日志访问、防火墙管理和跨所有托管域名的SSL证书管理——显著缩短520事件的诊断时间。
决策矩阵:诊断您的特定520场景
| 症状 | 最可能的原因 | 首要行动 |
|---|
| — | — | — |
|---|
| 所有页面、所有用户突然出现520 | 源服务器崩溃或OOM终止 | 检查`systemctl status nginx/apache2`,查看`dmesg` |
|---|
| 高负载下间歇性出现520 | 工作进程耗尽 | 增加`pm.max_children`或`worker_connections` |
|---|
| 仅在HTTPS上出现520,HTTP正常 | SSL/TLS不匹配 | 验证Cloudflare SSL模式与源证书是否匹配 |
|---|
| 启用新插件/模块后出现520 | 响应头格式错误或致命错误 | 检查错误日志,禁用插件后测试 |
|---|
| 服务器迁移后出现520 | 过时的DNS A记录 | 在Cloudflare DNS控制台中验证A记录IP |
|---|
| 防火墙规则更改后出现520 | Cloudflare IP被阻止 | 在防火墙中将Cloudflare IP范围加入白名单 |
|---|
| 数据包捕获中出现TCP RST的520 | 防火墙主动重置连接 | 审查iptables/CSF/UFW规则 |
|---|
| 仅特定URL出现520 | 应用程序级异常 | 检查该路由的应用程序错误日志 |
|---|
技术关键要点清单
在升级至支持之前,请确认您已完成以下每一项:
- 已验证源Web服务器进程正在运行(
systemctl status) - 已使用
curl -v --resolve绕过Cloudflare测试直接源连接 - 已查看源错误日志中520事件的确切时间戳
- 已确认Cloudflare IP范围在所有活跃防火墙中已加入白名单(UFW、CSF、iptables、ModSecurity)
- 已验证响应头在32 KB以下且不包含格式错误的值
- 已确认Cloudflare SSL/TLS模式与源证书类型匹配
- 已验证DNS A记录指向正确的当前源IP
- 已检查系统内存和CPU是否存在OOM终止或资源耗尽
- 已从520错误页面捕获Ray ID以供Cloudflare支持升级使用
- 已查看Cloudflare安全事件日志是否存在WAF规则干扰
常见问题解答
Cloudflare错误520和错误521有什么区别?
错误521意味着Cloudflare成功到达了您源服务器的IP,但Web服务器进程拒绝了TCP连接——通常是因为Nginx或Apache未在运行。错误520意味着TCP连接已建立,但HTTP响应为空、被截断或格式错误。如果您看到521,请启动您的Web服务器。如果您看到520,说明服务器正在运行但发送了损坏的响应。
错误520可能是由Cloudflare本身而非源服务器引起的吗?
很少见,但有可能。Cloudflare边缘节点问题可能导致520错误,而直接访问源服务器时无法重现。请检查cloudflarestatus.com是否有活跃事件。如果源服务器通过直接curl正常响应,且Cloudflare状态页面显示有活跃事件,请等待Cloudflare解决,而不是对服务器进行更改。
为什么错误520只是间歇性发生而不是持续发生?
间歇性520错误几乎总是表明资源耗尽——PHP-FPM工作进程池耗尽可用子进程、Nginx达到worker_connections限制,或Linux OOM终止器在内存压力下终止进程。这些情况在流量峰值下发生,当流量下降时恢复正常,从而形成间歇性模式。持续性520错误则指向配置问题。
暂停Cloudflare能修复错误520吗?
暂停Cloudflare会将其从请求路径中移除,因此如果暂停后您的网站正常工作,则问题出在Cloudflare的配置中(SSL模式、WAF规则、DNS记录)。如果暂停后网站仍然失败,则问题出在源服务器上。暂停Cloudflare是一个诊断步骤,而非修复措施——在活跃期间会移除DDoS防护和CDN缓存。
如何找到Ray ID以向Cloudflare报告520错误?
Ray ID显示在向用户显示的Cloudflare 520错误页面底部。它看起来像一个16字符的十六进制字符串(例如7a3f2b9c1d4e8f0a)。您也可以在CF-Ray响应头中找到它,在Chrome DevTools的网络标签下可见。在开启Cloudflare支持工单时务必包含此ID——它允许Cloudflare工程师检索您失败请求的确切边缘日志条目。