侧边栏壁纸
抵御ddos攻击-如何防止源IP泄漏
2023年07月03日 2,645阅读 0评论 847点赞

近期博客一直被攻击 人快疯了,被ddos和cc轮番轰炸 且每次都是20.30G的大流量 要是没有ddos清洗包,机子不知道得被封到猴年马月
QQ截图20230703214235.png

云烟博客防止IP泄露效果图

没钱上高防只有一个抵御方法---隐藏自己的源ip

通过这几天的学习发现泄露源ip的地方有很多 并不是一些站长想的套个cdn就万事大吉了

ssl证书泄露ip

即使使用了CDN

宝塔默认没禁止直接通过IP访问,因此很容易被扫描器扫描到。

NGINX下用IP访问HTTPS,会自动匹配第一个站点的SSL证书给IP使用,因此容易造成IP泄露

原理就是对ip的443端口发送clienthello,对方回复的 serverhello中有ssl证书,ssl证书里的common name 有域名信息。这样就知道了解析这个ip的域名。所以更准确的说是IP的443端口可能会暴露了域名。

这个网站https://search.censys.io/hosts可以进行查询 以本站为例 可以看到ip就已经泄露(现已更换)

发现中招之后就赶快更换ip吧 没有任何办法

QQ截图20230703222714.png

这就是有很多站点,明明套上了cdn,依然能被打到源站IP的原因。

解决方法

1、给IP配置上一张带错误域名的证书,防止泄露你自己的域名
2、禁止直接访问IP,将访问IP的请求,不管是HTTP还是HTTPS全部转错误页 返回状态码444 ERR_EMPTY_RESPONSE
具体操作如下

云烟博客防止IP泄露效果图 云烟博客防止IP泄露效果图

QQ截图20230703224333.png

添加一个不属于的域名并自签一个错误的ssl证书 然后设置为默认站点
可以去自签 (https://www.ssleye.com/ssltool/self_sign.html)也可以用我的

这样就能有效的防止因为ssl证书从而泄露ip

子域名泄露ip

这是很多粗心的站长会犯的错误 只给主域名上了cdn防御 但子域名没有 攻击者就会从这些子域名下手

获取到子域名后挨个ping 就可能会泄露源ip

QQ截图20230703225310.png

解决办法

不常用的域名要么暂停解析 要么上cdn防御

邮箱泄露ip

如果您的网站在服务器开通了smtp发信 如注册时邮箱验证码 留言回复等等 因为这些会直接暴露您服务器的源ip

以本站的回复邮件通知为例 点击显示邮件原文 可以看到通过smtp发出的邮件都会带上服务器的ip

QQ截图20230703230030.png

QQ截图20230703230454.png

解决方法

立即停止通过服务器smtp发邮件 采用第三方邮局平台发送验证码

优化评论回复机制 我的博客就被我改成了别人评论只会给我发邮件通知 我回复别人没有通知

总结

在混乱的网络上想保护好自己的小站要及时的学习网络安全知识 同时也对无缘无故攻击他人网站的行为表示谴责 表情

我的博客即将同步至腾讯云开发者社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?invite_code=10g95zn15n2sb

847

—— 评论区 ——

昵称
邮箱
网址
取消