近期更新

09.21

解决方案参考此贴:三个步骤隐藏真实服务器IP,保护你的源站;

源站IP泄露检测步骤

Censys泄露检测

1.进入 https://censys.io/
2.输入需要检测的域名;
3.点击查看结果中是否泄露;
4.如果已被扫描则会在结果中出现你的源站IP;
5.另,如你一开始没有使用CDN;则你源站IP必定泄露了;

以上;请务必参考 三个步骤隐藏真实服务器IP更换IP+套CDN处理;

Censys泄露检测

via https://censys.io/ 检测结果;

DDOS安全知识相关

配置好CDN加速之后,对源站IP的保护也至关重要。了解以下知识,可以涨些许姿势;

DDoS-Mitigation.jpg

本文,旨在帮助你更好的保护好你的Web服务,尽可能减少损失。

Censys.io 搜索引擎介绍

“Censys是一款搜索引擎,它允许计算机科学家了解组成互联网的设备和网络。Censys由因特网范围扫描驱动,它使得研究人员能够找到特定的主机,并能够针将设备、网站和证书的配置和部署信息创建到一个总体报告中。”

Censys.io 相关资料

1.源站ip是否隐藏?或泄露用这个查 Censys.io
2.Censys.io 介绍:一款洞察互联网秘密的新型搜索引擎
3.如何检测:进入 https://censys.io/,查看你的域名看看是否存在泄露;
4.更多参考:三个步骤隐藏真实服务器IP

如何防止入站扫描找到隐藏在CDN后的源站服务器IP?

其实小站确实不需要,大站硬抗。快速简单粗暴直接且有效的解决方案代码实现如下:(此脚本针对Cloudflare)


#!/bin/bash
# Name  : Anti IP Leakage
# Author: Zhys
# Date  : 2019

# 禁止来自IPv4的所有HTTP/S访问请求
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP

# 对Cloudflare CDN IPv4地址开放HTTP/S入站访问
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done

# 禁止来自IPv6的所有HTTP/S访问请求
ip6tables -I INPUT -p tcp --dport 80 -j DROP
ip6tables -I INPUT -p tcp --dport 443 -j DROP

# 对Cloudflare CDN IPv6地址开放HTTP/S入站访问
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done

# 保存iptables配置
iptables-save
ip6tables-save

# 注意:80/443为默认HTTP/S协议通讯使用端口,若实际应用使用非80/443端口进行,请依葫芦画瓢自行修改脚本
# Ubuntu系统可以使用UFW则类似:for i in `curl https://www.cloudflare.com/ips-v4`; do ufw allow proto tcp from $i to any port 80; done
# 基于Linux系统兼容性考虑脚本使用iptables配置系统防火墙,请自行根据各自系统、防火墙不同做相应配置调整实施

via https://www.9sep.org

其他相关

https://www.shodan.io

最后修改:2020 年 01 月 14 日 11 : 49 AM