一、为啥隐藏真实 IP?
今天,抛出这样一个话题也是为了提醒那些仍然无知且不设防的网站管理员! 我们是小型网站,我们使用低配服务器,与腾讯和网易不同,使用高性能,高可用性的高价格和高性能集群。 我们的低配服务器一旦被恶意攻击就基本上 GG 了!
也许,大多数人和我有同样的想法:这是尴尬,开放的高防御 CDN! 例如,百度云加速,360 网站卫士和安全宝。 事实上,使用国内免费高防 CDN 是我们低配服务器的最佳选择。
使用高抗 CDN 后,用户访问路径如下:
攻击请求落到分布式大带宽 CDN 节点。 如果正确设置了缓存项,我们的服务器几乎不会受到影响。
看到这个,你嘲笑今天的主题吗? 我正在考虑揭露真实的 IP。 问题是什么? 我无法启动百度云加速!
是的,这应该是大多数人的想法。 当然,肯定有人对揭露真实的知识产权漠不关心,也不知道它有什么危害。
好的,往下看,看看你是否还是平静的。
一旦真正的 IP 暴露出来,攻击者只需要在攻击时用主机的方式指定 IP 攻击,那么神马 CDN 就是云! 因为攻击请求绕过了 CDN 节点,你可以看到黄龙! 而且 DDoS 更糟糕,你可以直接攻击具有大流量的真实 IP,非高防御服务器会立即死掉!
当攻击者强制源服务器 IP 强制通过主机进行攻击时,请求路径如下:
直接绕过高防御 CDN 节点,它落到源服务器! 小带宽,低调的 reling 服务器,几乎没有大批量的不同 IP 请求的防御! 每个 IP 都是正常的请求,不可能区分黑色和白色。 与此同时,我会来 1000.你会死吗?
因此,保护真实 IP 免于暴露于公共网络是小型服务器的首要任务! 虽然你是一个新站,但你不会成为一段时间的目标。 一旦有一点改善,它可能会吸引各种苍蝇的攻击和骚扰。 这些苍蝇不一定是因为您的网站阻碍了他的财务路径。 您的网站上的某些促销活动可能已被涂黑,或者可能是因为您的朋友链等拒绝了您的网站,这可能会带来仇恨。 攻击骚扰! 没有直接原因,只是因为CC攻击的成本太低了!
二、如何隐藏真实 IP?
如上所述,目前隐藏真实 IP 的做法主要是利用国内外一些免费的 CDN 加速服务。 例如,百度云加速,加速音乐,360 网站守卫和中国的安全宝藏,CloudFlare 在国外。 无论有没有记录,您都可以选择适合您的免费产品。
当然,如果您不需要加速,您也可以考虑留在阿里云或腾讯云,然后使用免费的 WAF 防御服务,或使用 cname 解析来更改您网站的 IP。
事实上,在此设置之后,在隐藏真实 IP 的同时,它还消除了扫描端口和扫描网络上各处漏洞的行为。
三、个人经验分享
那用这些高防 CDN 隐藏真实 IP 之后,是否百分百可靠呢?且继续看。
不久前,博客被一大波苍蝇攻击,1 核 CPU 配置下的 load average 直接达到 10+!我挺奇怪的,因为博客早已实现了纯静态化,被攻击不应该产生这么高的 CPU 负载才对,因为都是 html 页面。
网站已经龟速,容不得我细究。我立刻将网站迁移到百度云加速,设置为完全缓存,结果发现网站打开速度变快了,但是 CPU 负载还是没有明显的改善,这是为什么?
当我查看 nginx 的 access.log 才恍然大悟,原来是 postviews 插件的 ajax 统计!就算你是纯静态 html,被打开的时候,还是会产生一个 ajax 动态请求来记录浏览数,从而导致了 cpu 的狂飙.
结语
从这个案例中,我们可以看出百度云加速和其他高防御 CDN 并非 100%有效。 当攻击者请求数以万计的不同 IP 时,只要页面上有动态请求,负载就会增加!
最后,我分享了一个小经验。 360 网站守卫和百度云加速分辨率记录以及我的 2 个网站的各种设置都是之前设置的。 一旦受到攻击,我只需要将 NS 记录指向云加速或 360 NS。 服务器可以方便快捷! 这称为战略规划,提前规划,无论是否有攻击,您必须留在紧急恢复道路,以避免不必要的损失。
好吧,我在这里谈论它,我希望这篇文章能够起到积极的能量作用,而不是给苍蝇一种忽视高防御 CDN 的方法! 当然,博主也建议那些喜欢在小型网站上进行CC攻击的朋友。 这种攻击方法真的是菜鸟,非常搞笑,非常技术性,你真的有能力,敢于上网做白帽子吗?
转载请注明出处:博客或低端配置 vps 服务器暴露真实 IP 的危险性
本文章链接:https://blog.kieng.cn/816.html
Windows 10 | 
Chrome 69.0.3497.100
Windows 7 | 
Mac OS X | 
