近期博客一直被攻击 人快疯了，被ddos和cc轮番轰炸 且每次都是20.30G的大流量 要是没有ddos清洗包，机子不知道得被封到猴年马月

没钱上高防只有一个抵御方法---隐藏自己的源ip

通过这几天的学习发现泄露源ip的地方有很多 并不是一些站长想的套个cdn就万事大吉了

ssl证书泄露ip

即使使用了CDN

宝塔默认没禁止直接通过IP访问，因此很容易被扫描器扫描到。

NGINX下用IP访问HTTPS，会自动匹配第一个站点的SSL证书给IP使用，因此容易造成IP泄露

原理就是对ip的443端口发送clienthello，对方回复的 serverhello中有ssl证书，ssl证书里的common name 有域名信息。这样就知道了解析这个ip的域名。所以更准确的说是IP的443端口可能会暴露了域名。

这个网站https://search.censys.io/hosts可以进行查询 以本站为例 可以看到ip就已经泄露（现已更换）

发现中招之后就赶快更换ip吧 没有任何办法

这就是有很多站点，明明套上了cdn，依然能被打到源站IP的原因。

解决方法

1、给IP配置上一张带错误域名的证书，防止泄露你自己的域名
2、禁止直接访问IP，将访问IP的请求，不管是HTTP还是HTTPS全部转错误页 返回状态码444 ERR_EMPTY_RESPONSE
具体操作如下

添加一个不属于的域名并自签一个错误的ssl证书 然后设置为默认站点
可以去自签 （https://www.ssleye.com/ssltool/self_sign.html）也可以用我的

这样就能有效的防止因为ssl证书从而泄露ip

子域名泄露ip

这是很多粗心的站长会犯的错误 只给主域名上了cdn防御 但子域名没有 攻击者就会从这些子域名下手

获取到子域名后挨个ping 就可能会泄露源ip

解决办法

不常用的域名要么暂停解析 要么上cdn防御

邮箱泄露ip

如果您的网站在服务器开通了smtp发信 如注册时邮箱验证码 留言回复等等 因为这些会直接暴露您服务器的源ip

以本站的回复邮件通知为例 点击显示邮件原文 可以看到通过smtp发出的邮件都会带上服务器的ip

解决方法

立即停止通过服务器smtp发邮件 采用第三方邮局平台发送验证码

优化评论回复机制 我的博客就被我改成了别人评论只会给我发邮件通知 我回复别人没有通知

总结

在混乱的网络上想保护好自己的小站要及时的学习网络安全知识 同时也对无缘无故攻击他人网站的行为表示谴责