本文隶属于 网站优化 分类,点击分类名称查看更多相关主题;
运作逻辑图
使用Cloudflare(CDN)隐藏服务器真实IP
CloudFlare是一个国外著名的免费CDN网站加速服务公司。Content Delivery Network
,简称CDN,内容分发
网络,是建立并覆盖在承载网
之上,由分布在不同区域的边缘节点服务器群
组成的分布式网络
。查看CDN更多资讯;
这里我推荐使用Cloudflare,免费版本基本可以满足一个小站需求。
步骤一 一些必要的检查
除非你一开始就使用了CDN,不然你铁定泄露了。如何知道你的服务器IP是否已被扫描,查看关于接入 Cloudflare CDN网络后,如何防止源站IP泄露;如果已经被扫描并被记录,这时候你要做的先将域名解析(一般你的解析是在域名服务商下)迁移至Cloudflare下,之后再做服务器迁移。
步骤二 使用Cloudflare解析你的网站
网站很简单,基本上不用什么参考。注册即可用。
记住这个黄色小Logo,添加解析记录时务必保持这个颜色(而不是灰色)。(迁移服务器后,把ip替换即可)
步骤三 更换服务器
备份并更换你的服务器;各个VPS都应该是提供服务器迁移的(自然不同的数据中心,分配的IP也不一样,IP有地理位置属性)。我所在用的VPS服务商
是linode
,从东京数据中心迁移到费里蒙特也就半个小时左右,还是很便利的。
迁移服务器
成功后,将Cloudflare上的解析IP
更换即可。
Cloudflare抗DDoS
5秒盾
Under Attack Mode,也就是一招祭出JSchallenge,让攻击者无所适从。(当然,也已有人开始试着绕过盾,但效果似乎不甚理想!)
JS/Captcha challenge
基本上,套了Cloudflare之后,真实服务器IP铁定隐藏好了。(本文附录还有个防扫描脚本)
因为用户所有请求均由Cloudflare转发,所以很大程度来讲,在Cloudflare做好防火墙规则即可抗住DDoS。
JSchallenge /Captcha 不会常用到,一旦用上了,所有攻击都是虚张声势。所有伪装请求,都会先在Cloudflare过滤。坏处就是,一旦长时间使用,谷歌爬虫也爬不到你的内容,过不了多久你的排名就会降下去。(验证码会影响搜索引擎,五秒盾与Block倒不会:参考高级DDoS防护和缓解丨Cloudflare 知识点 )
算是好处,也算坏处。
其他建议
无。
附录
禁止扫描机扫描脚本,即拒绝除Cloudflare外的所有IP对源站(40/443)端口扫描。
#!/bin/bash
# Name : Anti IP Leakage
# Author: Zhys
# Date : 2019
# 禁止来自IPv4的所有HTTP/S访问请求
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP
# 对Cloudflare CDN IPv4地址开放HTTP/S入站访问
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done
# 禁止来自IPv6的所有HTTP/S访问请求
ip6tables -I INPUT -p tcp --dport 80 -j DROP
ip6tables -I INPUT -p tcp --dport 443 -j DROP
# 对Cloudflare CDN IPv6地址开放HTTP/S入站访问
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done
# 保存iptables配置
iptables-save
ip6tables-save
# 注意:80/443为默认HTTP/S协议通讯使用端口,若实际应用使用非80/443端口进行,请依葫芦画瓢自行修改脚本
# Ubuntu系统可以使用UFW则类似:for i in `curl https://www.cloudflare.com/ips-v4`; do ufw allow proto tcp from $i to any port 80; done
# 基于Linux系统兼容性考虑脚本使用iptables配置系统防火墙,请自行根据各自系统、防火墙不同做相应配置调整实施
via 关于寻找源站IP以及接入Cloudflare CDN网络后如何防止泄露
附录
1.Cloudflare介绍:https://zh.wikipedia.org/wiki/CloudFlare
2.联系limbo
必用的基本页面规则:
https://www.cloudflare.com/zh-cn/features-page-rules/must-use-page-rules/
通过实施安全域连接来提高安全性和性能
通过定义域的规范版本来保护您的 SEO
通过高级缓存功能降低带宽使用量和服务器负载
通过 HTTP/2 和积极的缓存策略优化性能
通过 Always Online 功能增强关键域资产的可靠性
版权属于:毒奶
联系我们:https://limbopro.com/6.html
毒奶搜索:https://limbopro.com/search.html
机场推荐:https://limbopro.com/865.html IEPL专线/100Gb/¥15/月起
毒奶导航:https://limbopro.com/daohang/index.html本文链接:https://limbopro.com/archives/1204.html
本文采用 CC BY-NC-SA 4.0 许可协议,转载或引用本文时请遵守许可协议,注明出处、不得用于商业用途!