这是一个创建于 789 天前的主题,其中的信息可能已经有所发展或是发生改变。
百度查了一些资料,感觉都是套娃互相转实在看的累人。来求证一下论坛老哥理解的对不对
1 、dos 攻击和 cc 攻击在原理和行为都很相近,只不过 dos 是攻击传输层的有点类似于攻击服务器物理资源,cc 是使应用层负载饱和,不知道这么理解对不对。 2 、基于上一点理解,ddos 攻击基于传输层那么可以利用公网服务器反射,cc 则无法白嫖别人的服务器反射。我好奇的点是主流服务商对于类似的攻击行为没有应对方案么,难道随便谁来都可以用我的服务器做跳板反射攻击别人? 3 、基于上两点理解,所以所谓的一些高防运营商,比如比较有名的 ovh ,是搞了一些物理设备可以比较快速地处理传输层攻击封包,所以叫高防。如果遇到 cc 攻击他们不会起到什么帮助作用? 4 、最后再问一个好奇的,个人网站现在一般是通过挂 cf 的方式隐藏源 IP ,但是签发 lets encrypt 证书的时候服务器 IP 又是固定声明的,所以 cf 隐藏源 IP 有什么用呢,如果被指定 IP 指向源服务器发送请求仍会被源服务器当做合法请求处理么,毕竟源服务器又分不清哪些请求是 cf 送过来的,哪些是攻击者送过来的。
 |
1
lonewolfakela 2022-02-25 11:20:12 +08:00
“签发 lets encrypt 证书的时候服务器 IP 又是固定声明的”
呃,不太明白你的意思。签发证书和 IP 地址有什么关系呢? |
 |
2
Love4Taylor 2022-02-25 11:38:47 +08:00 via iPhone
acme 又不是只有 http 验证,你用 dns 验证不就行了
|
|
3
Love4Taylor 2022-02-25 11:40:01 +08:00 via iPhone
另外你要是实在担心去用 Cloudflare Origin CA 再开客户端验证。
|
 |
4
codehz 2022-02-25 14:06:21 +08:00 via Android
CF 的证书是 CF 帮你签名的,非要在源服务器上加证书(而不是 flexible 模式)可以用 cf 给的专用证书。
然后现在 argo tunnel 已经免费下放了,不需要公开任何端口(甚至没有公网 ip )就可以对外提供网页服务。 |
 |
5
rv54ntjwfm3ug8 2022-02-25 15:02:50 +08:00
"签发 lets encrypt 证书的时候服务器 IP 又是固定声明的"是什么意思,用 http 验证签 let's encrypt 的证书有泄露 IP 的风险吗?
|
 |
6
LeeReamond OP @lonewolfakela
@Love4Taylor @theklf4 可能我表达有问题,我的意思是 lets encrypt 签发后服务 IP 的 443 接口会固定暴露源证书。这种类似于网上有很多服务记录 dns 解析记录,如果你曾经解析到某 IP 会被记下来,同理 443 端口也有服务在扫描,再加上服务商 IP 段可能被重点照顾,暴露源服务 IP 后似乎没有任何防御手段。 @codehz 所谓 cf 专用证书应该怎么操作,一般的方法做法都是 acme.sh 搞个证书,然后 cf 再搞个 strict 模式吧,毕竟无法接受服务 http 裸奔 |
|
7
Love4Taylor 2022-02-25 22:40:11 +08:00
> 443 端口也有服务在扫描
你都挂 CF 了就不能做一下来源白名单? https://support.cloudflare.com/hc/en-us/articles/201897700-Allowing-Cloudflare-IP-addresses |
|
8
lonewolfakela 2022-02-25 22:50:35 +08:00
@LeeReamond 呃,配置成对于不报对应的域名的 SNI 、直接使用 ip 的所有连接直接拒绝就好了,为啥要把带域名的证书发给这些请求……而且确实如楼上所说,你都 CF 了,那直接白名单就好了啊
|
 |
9
disk 2022-02-25 22:52:26 +08:00
啥呀,既然挂 cf 就不需要用 lets encrypt 证书(你想用得升到企业订阅),strict 模式下服务器用的证书是 cf 提供的,通过经过身份验证的源服务器拉取可以使服务器识别请求是不是 cf 发过来的。
|
|
10
codehz 2022-02-25 22:59:24 +08:00 via Android
@LeeReamond
https://developers.cloudflare.com/ssl/origin-configuration/authenticated-origin-pull/set-up 按这个教程 其实现在推荐用免费下方的 argo tunnel ,无需端口暴露,直接 http 也不用担心数据泄漏(反正无论如何 cf 都要解密内容) |
|
11
LeeReamond OP @Love4Taylor 学习了,没关注过 cf 这些以前信息,以前就随便一挂
|
 |
12
D7S 2022-02-28 18:51:14 +08:00
@codehz 国外 vps 安装这没问题,想说试试自家电脑(win),结果建立 tunnel 就失败,是国内环境无法用吗?
C:\Cloudflared>cloudflared-windows-amd64.exe tunnel list REST request failed: Get "https://api.cloudflare.com/client/v4/accounts/ACCOUNDID/cfd_tunnel?is_deleted=false": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers) |
Select Language