承接上篇 浅谈个人博客网站or屌丝vps服务器暴露真实IP的危险性
中篇 用CDN隐藏网站真实IP就万无一失了?一个蹊跷的网站正泄露你的站点IP
上面两篇都不是我写的,哈哈哈哈。
什么是CDN
CDN的全称Content Delivery Network,即内容分发网络。用一个例子来解释:
双11的时候,大家发现快递依然很快,不过是商家把货物提前发到了全国各地的仓库,平时你在广州买东西是从北京发货的,双11的时候确是从深圳仓库发出来的,所以很快。网站也一个道理,网站服务器在广州,访客在佳木斯,CDN服务商有哈尔滨的节点,所以访客其实是在和哈尔滨的CDN节点交互,所以他会感觉网站很快。
隐藏网站真实IP的方法有多种,本文主讲CDN,所以提前科普下CDN。
网站真实IP泄漏后该怎么办
➤破罐子捡起来再摔一次,直接撤掉CDN,让你的博客主机直面网络上的风风雨雨。真男人就不该躲在城堡里,而应该像灭霸一样住在南山的茅草屋。
➤更换网站服务器IP,大家都觉得自己的云服务器不能换IP,其实是能的,而且很简单。先把绑定在云服务器上的IP转换成弹性IP,然后把弹性IP跟云服务器解绑,最后把弹性IP释放掉,此时你就自动得到一个系统分配的新的弹性IP(有的服务商需要自行在控制台免费申请)。具体看:https://www.zhujib.com/tengxunyunfuwuqimianfeigenghuanipjiaocheng.html
预防网站真实IP泄漏
➤cdn节点白名单,把自己用的CDN节点的IP段(一般cdn的帮助文档里面有提供所有IP段)添加到云服务器安全组的白名单里面,这样的话能最大化屏蔽各种未知安全漏洞,比如类似censys.io的扫描方式就失效了。当然不建议新手使用这种方法,太严格了,指定了搜索引擎线路的爬虫都进不来。
➤把censys.io的IP加入安全组的黑名单
141.212.121.0/24
141.212.122.0/24
141.212.123.0/24
198.108.66.0/23
这个方法也不靠谱,因为不止censys.io一家在扫全网IP。
➤更换web服务程序,比如Apache的httpd、caddy 、lighttpd,至于淘宝的Tengine和微软的IIS,也有https证书泄漏源站IP的问题,我试过了。
➤使用靠谱的CDN,不会突然回源。比如我以前一直用的very***的CDN,突然就不提供免费流量了,没有提前通知,直接就给我回源了,别人ping域名就直接返回我源站IP。有的CDN服务商,你接入初期是有个核验期的,核验期的那段时间也是直接回源的。
➤CDN月流量包买大一点,比如你月流量包20G,然后有人循环下载你网站上的一个大文件,把20G耗尽,此时,就会回源,专业术语叫DDOS到回源,俗称打回原形。
➤若你的网站带用户功能,用户注册后,上传一个图片什么,通过抓包,能抓到真实IP,这个问题好像无解。
➤子域安全,出于成本等方面的原因,很多网站只有主站上了CDN,子站没上,这样的话,别人ping一下就拿到你网站服务器真实IP了。网上有很多网站提供子站扫描服务,能很快的扫出所有激活的子站。再不济,一条命令就能把所有两个字母的子域穷举出来,下面例子中把d改成z就是穷举所有字母。
[root@hqidi.com ~]# echo {a..d}{a..d}.baidu.com |tr ' ' '\n' aa.baidu.com ab.baidu.com ac.baidu.com ad.baidu.com ba.baidu.com bb.baidu.com bc.baidu.com bd.baidu.com ca.baidu.com cb.baidu.com cc.baidu.com cd.baidu.com da.baidu.com db.baidu.com dc.baidu.com dd.baidu.com
小范围使用的子站点,比如内部wiki,个人网盘,记得在robots.txt里面禁止所有爬虫,不然别人在搜索引擎里面输入
site:youdomain.com -www
就能得到你所有激活的子站。
➤不知名小厂提供的CDN别用,有的CDN,节点虽然不多,但用的人少,所以速度快,稳定,貌似没啥问题,但他们很可能没有国外的解析线路,就是说用一台国外的VPS一ping域名,你的源站IP就出来了。
➤解析历史泄漏源站IP,很多网站都能查到一个域名的解析历史,所以说,网站上线前的测试阶段不要做DNS解析,应该在个人电脑上做hosts解析或者在公司出口网关上做hosts绑定。
➤社工泄漏,记得有牛人打10086把客服MM约出来吃饭的,这样的人找CDN的客服肯定能拿到你网站的IP,所以平时注意个人信息安全。
原创文章,转载请注明: 转载自笛声
本文链接地址: 网站安全防护之隐藏真实IP
14 条评论
可怕,一个泄露IP你能整出这么多渠道,最后一个社工最牛逼~
赞一个 列举的非常详尽~
nginx有https证书泄漏源站IP的问题吗,应该和Tengine差不多吧
有的,nginx和Tengine都会因为证书泄漏源站IP
配置错误就会泄露,不要赖 HTTP 引擎。
我没备案,意思是挂个cf会比较好?
大神帮我出出主意
没用过CF,听说其五秒盾和CC防御很牛,若你上了CF后网站速度没有比现在慢的话,还是建议上的。
上有政策下有对策,有人存心搞事情,总有办法…淡定
现在就用cdn隐藏
不过我的小博客 隐藏不隐藏影响不大
我现在是CDN隐藏,因为CDN按流量计费,不担心被打回原形,只担心钱包空了。
套Cf~哈哈哈~
朋友 交换链接吗
承蒙看得起,主要跟一些写生活日志的人换链接,所以就不跟您换了。。
[…] 1.网站安全防护之隐藏真实IP […]