!
优惠码:wxsnote
信息

隐藏保护源站服务器真实IP地址防止被攻击的几种方法

一般情况下,黑客使用DDoS攻击来使网站瘫痪。攻击是基于服务器真实IP地址进行的,为了确保服务器安全,需要隐藏其真实IP地址以防止被跟踪和攻击。这样就可以减少网站瘫痪所带来的损失。那么,如何才能隐藏服务器的真实IP呢?王先生给大家分享几个防护措施,虽然不全面,但至少可以提高攻击者找到源站服务器的难度。

什么是源站服务器以及攻击是如何防御的?

源站服务器是就是你存放网站内容的服务器,服务器提供网站的内容和数据,让用户能浏览你的网站。源站服务器一般包括web环境软件,网站的源码文件、网站数据库和其他相关资源,是网站运行和访问的基础。

传统的防御DDoS攻击方法就是宽带扩容,提高硬件配置,后面又有了专门过滤清洗攻击的硬件和软件,只需要扩容宽带就可以了。当然还有其他方法,只不过和传统的方法一样,只是变成了高防IP或者已经接入防御硬件的服务器。不过成本直接变高了。

使用CDN隐藏源站服务器IP

CDN的工作原理可以简单比喻为全国连锁的多个餐馆分店(CDN节点服务器)。当食客想吃一份只有你家餐馆(你的源站服务器)发明的独家菜(网站图片等),如果餐馆离他们很远,可能需要翻山过海(延迟,速度)才能吃到菜(网站图片等)。但是如果食客家附近就有一家餐馆分店(CDN节点服务器),离他们很近,就可以很快吃到独家菜(网站图片等)。CDN也是这样的原理,它会将网站内容存储在全球各个服务器上,当用户请求内容时,会从最近的服务器上获取,从而加快网站加载速度。同样的,只要不告诉访问者源站IP,那就只会知道CDN节点的IP地址。

CDN节点服务器把源站服务器的静态资源文件缓存到多个地区的节点服务器上,网站被访问时,不同地区的访问者只会获取到距离他最近的CDN节点IP地址,获取图片,css,js等静态文件资源,只向源站服务器获取动态内容并展示网页。CDN节点服务器代理源站服务器,相当于访问了CDN节点服务器上的镜像网站,变相提高宽带,且起到隐藏源站服务器IP的作用。

攻击者使用多地服务器访问网址,仅仅是获取到上百个IP地址,唯独没有源站服务器IP。当然了,如果你的域名已经指向过源服务器IP,那么推荐你换一台服务器或者IP地址。


推荐一下云服务器产品:玄灵云[https://cloud.xuanling.cn]

新注册的朋友使用优惠码,享全场8折优惠,续费同价

王先生笔记的朋友专属优惠码:

wxsnote

在使用CDN之前,起码不要再使用之前域名直接指向的服务器IP地址了,因为攻击者可以在一些平台查找域名解析过的历史IP地址,通过hosts方式绕过DNS服务器和CDN节点服务器直接攻击源站服务器。

CDN相较于租用高防IP和高防服务器,CDN更便宜,减少了静态请求,对于源站服务器的压力只有动态请求。CDN也是带宽扩容的一种方法,也能应对一些低量的DDoS攻击,当然攻击者一般会选择攻击源站服务器。

你也许也听过CDN盾,其实他们的CDN节点全是高防服务器,用于清洗DDoS攻击,所以叫做CDN盾。有的也自带应用防火墙的,防御一些网站攻击,总之CDN盾比普通CDN好一些,不过一般也没攻击者去打CDN。

大厂的CDN无疑是快且稳定,但是一旦受到大量攻击,那巨额账单是无法承受的,所以CDN可以选择其他平台提供的服务。

同时海外地区,域名解析线路可以选择解析到127.0.0.1,服务器设置屏蔽海外,或者解析到其他平台的CDN

对于未备案域名的站点,一定要选择拥有亚太地区,低延迟节点的平台

关闭服务器ping防止被轻易扫到源站服务器

ping可以检测服务器与访问者的之间的延迟,同时也能知道服务器是否在线中,关闭ping可以降低源站服务器被发现可能性

宝塔面板中,可以很方便地关闭服务器的ping功能

图片[1]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记

给源站默认站点设置一个错误的SSL证书

如果你的网站使用Nginx,同时也有网站ssl证书,在默认情况下HTTPS会窜站,服务器443端口访问时,Nginx会默认返回其他站点的ssl证书,并且证书信息中可以看到证书中的域名。

假如攻击者通过其他方式获取到IP地址,那么就可以通过最简单的方法查到网站的域名是否部署到这个服务器,也就是可以确定是否是源站服务器。

演示一下,在浏览器输入服务器IP:443,显示不安全,查看证书信息,发现公用名竟然是这台服务器上其中一个站点的域名,导致源站服务器暴露了域名。

图片[2]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记

如果给默认站点设置错误的SSL证书,公用名会显示其他域名,与CDN节点上的域名不符,所以无法确认是否是源站服务器。原理就是对IP的443端口发送client hello,服务器回复的server hello中有ssl证书。错误的SSL证书会导致显示错误域名,导致无法确定是否是源站,从而降低了攻击者通过SSL证书查询到源服务器IP的可能性,让攻击者用更多的时间和精力来绕过错误的证书。

开启HTTPS防窜站

图片[3]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记

宝塔建站点,无需填写IP地址

图片[4]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记

设置为默认站点

图片[5]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记

设置无效SSL证书,开启强制HTTPS,只要是无效的都可以

图片[6]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记

如果你没有这样的ssl证书,这里提供一份无效证书

默认站点设置444状态码

Nginx官方介绍:

一种非标准状态代码,用于指示Nginx关闭连接而不向客户端发送响应,最常用于拒绝恶意或格式错误的请求。客户端看不到此状态代码,它仅出现在nginx日志文件中。

网上别人交的都是用404和403拦截恶意请求,其实还有更好的方法。444是Nginx独有的一个状态码,接收到请求后不处理并断开连接,访问者客户端会看到提示说服务器无响应,并不知道具体状态码。所以可以防止被探查到HTTP协议的使用,同时只要宽带够大也能阻挡低频DDoS。

我们把这个状态码加在默认站点即可。

return 444;
图片[7]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记

拦截Censys扫描

为什么拦截这货?

1.Censys使用自动协议检测持续扫描整个公共IPv4地址,准确显示互联网当前状态。

2.Censys利用重定向和域名系统来发现和扫描正在使用的IPv6地址。

能扫描出域名解析指向的IP地址,并且还有正在使用的端口,这就很离谱了。因为它扫描全网ip,谁都不放过,源站被扫到就有暴露风险。

图片[8]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记
Censys扫描测试

我还得谢谢你,告诉我源站IP漏了。最大的威胁不是别人,是你啊,给黑客节省查找源站服务器IP的时间。不过他们还算有良心,提供了屏蔽扫描的方法。当然,屏蔽是之前,你得换IP或者服务器。

通过系统防火墙拦截Censys的IP地址

宝塔可以方便地添加IP拦截规则

图片[9]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记
在宝塔系统防火墙中将Censys的IP段拦截

Censys扫描器的IP段:

162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
199.45.154.0/24
199.45.155.0/24
2602:80d:1000:b0cc:e::/80
2620:96:e000:b0cc:e::/80

通过WAF防火墙拦截Censys的UA

如果你的宝塔在专业版以上的版本,可以在宝塔可以方便地添加UA拦截规则

图片[10]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记
在宝塔系统防火墙中将Censys的UA拦截

Censys扫描器的UA头:

Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)
也可以只添加censys
防搬运:王先生笔记:https://wxsnote.cn

使用支持群发的邮件平台

一定要选择使用支持群发推送的邮件,如:阿里云邮件推送腾讯云邮件推送

这样发出的邮件,只有推送平台的IP地址,没有源站IP地址

假如你的网站使用的是QQ邮箱,企业微信,136,126等平台的邮件服务尽快弃用,为什么?直接看图吧。

在QQ邮箱网页收到由源站服务器发送的邮件,点击显示原文

图片[11]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记
QQ邮箱网页收到由源站服务器发送的邮件

你猜这是什么?如果我没有使用推送邮件,这里的IP地址就是我源站的IP地址

图片[12]-隐藏保护源站服务器真实IP地址防止被攻击的几种方法-王先生笔记

有效拦截通过hosts绕过CDN连接源站的攻击者

这么做可以有效防止攻击者确认IP是否为源站

温馨提示:本文最后更新于2023-11-22 21:56:17,某些文章具有时效性,若有错误或已失效,请在下方留言或加入QQ群:399019539联系群主。
友情赞助

如果你喜欢我的内容,可以赞助我哦!你的一点点心意,是我不断前进的动力!
© 版权声明
THE END
喜欢就支持一下吧
点赞13 分享
评论 共1条

请登录后发表评论

    请登录后查看评论内容