服务器被攻击,上了 CDN 但源站 IP 还是会被很快知道,求问可能是哪个环节出了问题?

2021-10-03 15:20:18 +08:00
 Benisme
我国内用的是阿里云的 CDN,境外用的是 Cloudflare 。

我在网上搜相关信息,看到说用 https://ip 地址 是会暴露出源站 IP 的。但这不是也得先扫到这个 ip 才行吗?在我的理解里这应该至少需要一段时间。

可是我服务器被攻击后换了 IP,第二天马上新 IP 也被攻击了。

我本来想按照网上教程设置一下禁止 ip 用 https 访问,但一直设置不对,总是会连域名的 https 访问都失败。

另外,我每次被攻击就会解除原来的 ip,那原来的 ip 就应该只是个单纯的 ip ?可依然能被对方攻击,实在不理解。都没有绑服务器,为什么还会被攻击?
9897 次点击
所在节点    信息安全
41 条回复
crab
2021-10-03 15:23:31 +08:00
有找回密码通过邮件这类功能?
Benisme
2021-10-03 15:24:38 +08:00
@crab 邮件用的是阿里云的服务,我自己试过应该查不出真实 ip
Livid
2021-10-03 15:26:23 +08:00
源站上是否只允许 CDN 的回源 IP 地址段访问 443 接口?
wooyuntest
2021-10-03 15:27:29 +08:00
有可能是 DNS 解析记录
回忆一下换 IP 的时候 域名是否直接解析回源了?
xenme
2021-10-03 15:27:54 +08:00
源站有没有做白名单,只允许 cdn,另外就是是否通过域名等指向了源站被发现了
Benisme
2021-10-03 15:35:23 +08:00
@Livid 暂时还没有设置这个

@wooyuntest 我现在是这样,在域名的 DNS 里设置两个指向,一个是默认路线指向境内 CDN 的 CNAME,另一个是境外路线指向 cloudflare 。换 ip 的时候域名应该没有直接指向到真实 ip 过。

@xenme 如上

是不是有必要设置一下只允许 CDN 回源 IP 访问?
Livid
2021-10-03 15:36:30 +08:00
@Benisme 现在的扫描器扫描整个 IPv4 地址空间,找出哪个 IP 上有哪些证书,用不了多长时间。
Benisme
2021-10-03 16:19:34 +08:00
@Livid 懂了,我去弄一下。现在又换了一个 ip,看看能不能防住。
谢谢各位
windyskr
2021-10-03 16:29:31 +08:00
我也发现浏览器直接访问 https://ip,虽然显示不信任但是查看证书会显示这服务器上有的一个域名的证书,进而把域名和源站关联起来,https://censys.io/ 似乎就一直在这个。我也和你一样搜了半天却还不会正确设置。
不过我似乎找到了一个曲线救国的方法:在 nginx 上加一个以这个服务器 ip 为域名的网站,配上一个任意自签名证书,再直接访问 https://ip 点击证书查看就不会泄露真实域名,不过网站没挨这种过打不知道实际是否有用。不过应该是有的,我设置后再 censys 就再也搜不到源站 ip 了。
yanzhiling2001
2021-10-03 16:58:20 +08:00
要不就新建个 IP 站点,给 IP 自签一个证书
Eleutherios
2021-10-03 17:41:40 +08:00
@windyskr 这个没用吧?我记得可以指定 ip,但是附带上 domain
24owls
2021-10-03 17:44:19 +08:00
服务器上可以强制使用 TLS SNI 来防止证书被扫描出来,没有 SNI 就无法建立 TLS 连接,全站都在 CDN 后面的话没有副作用,比如 haproxy 里面的 strict-sni 选项 http://cbonte.github.io/haproxy-dconv/2.3/configuration.html#5.1-strict-sni

邮件服务器和 HTTP 服务器在一起的话,可以检查一下是否为邮件服务器设置过 reverse DNS
Darkside
2021-10-03 17:52:41 +08:00
试试看源站只允许内网连接,然后再通过 Cloudflare Argo Tunnel 连出去,证书的问题让 Cloudflare 解决?

这样应该可以保证不泄露源站 IP
ZingLix
2021-10-03 18:29:05 +08:00
@windyskr nginx 试试这个 `ssl_reject_handshake on; `? 应该是 1.19.4 后新加的,ip 访问直接拒绝 tls 握手就不会泄露证书了
akira
2021-10-03 18:54:38 +08:00
如果 你没更换机房,同一个机房的 ip 就那么些,很容易就扫到了啦。
上黑白名单吧,应该能有帮助
Skmgo
2021-10-03 18:59:21 +08:00
@Benisme 请看我的那个帖子, 你需要主机头加个假的证书, 或者空主机头.

另外国内备案很恶心, 可以从备案查到 ip...
Skmgo
2021-10-03 19:00:25 +08:00
@windyskr https://www.v2ex.com/t/805286
luckycat
2021-10-03 19:40:15 +08:00
现在攻击手段多的很,回头再给你来给假墙攻击,谁都架不住。

解决手段:国内找警察报案
LongLights
2021-10-03 19:42:03 +08:00
1. smtp 服务
2.dns 历史解析
3.源站 ip 没有 ssl

以上是比较常见的几种情况
ruixue
2021-10-03 20:34:25 +08:00
设置默认 ssl 证书能防止 censys 之类的全网扫描,但是不能防止针对你域名的定向攻击(就是专门加 host 再扫描),所以最稳妥的方法是#3 说的设置好防火墙,443 端口只允许 cdn 的回源 ip 段访问

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/805757

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX