源站IP被暴露了怎么办?
IP源站,一些请求能够直接向源站IP地址发起;像我们常说的域名源站地址,就需要解析出源站域名对应的IP,再向IP地址发起请求。至于源站地址的类型,可以根据用户的具体情况来定,倘若服务器频繁要变更,最好选用域名源站,或者IP源站。
源站IP暴露后,可以试着更改配置 DDoS 高防 IP 服务。如果更改后还存在攻击绕过高防直接攻击源站 IP 的情况,最好更换源站IP。需要注意的是,咋更换源站IP前,需要确认已解决所有存在暴露源站IP的因素。
排查步骤:
在已清除所有暴露源站IP的因素后,最好逐一排查:
1.源站服务器中是否有木马、后门之类的安全隐患。
最好找专业的安全技术人员,如果没有的话,可以选用一些安全软件,或在在云市场选择相应的安全服务。
2.查看源站IP存在的其他高防IP服务,例如邮件服务器的 MX 记录、bbs记录等除 Web 以外的记录。可以反复检查DNS解析的全部内容,确认源站IP没有解析的记录。
3.检查网站的源码信息,像常用的 phpinfo() 指令中可能包含的IP地址等泄露。
4.查看扫描情况,是否存在恶意扫描。可以在源站上设置仅允许高防回源IP防护,详情可参考高防防源站保护。
5.确认已经没有业务解析到源站。可以选用一些测试攻击检查当前的域名,查看源站解析记录。然后再检查DNS解析配置,查看源站IP解析记录。
源站IP的更改
在消除其他可能存在暴露源站IP的因素后,更换暴露的源站IP。相应操作请参考更换ECS IP。
不愿意更换源站IP或IP已经更换过
如不愿意更换源站IP或IP已经更换过却仍有IP 暴露的问题,可以在后端ECS服务器前再部署一台负载均衡(SLB)服务器。
通常情况下可以使用以下部署架构:客户端 > 高防 IP > SLB > ECS在使用此部署架构情况下,最好在高防 IP 管理控制台中填写负载均衡服务器的 IP 作为回源地址。
采用这种部署架构,即使攻击直接攻击源站,使得源站 IP 被黑洞,通过高防 IP 访问服务器依然不受影响。因为负载均衡服务器到源站的访问流量通过内网传输,即使源站 IP 被黑洞,高防 IP 仍然可以通过负载均衡服务器访问源站。
上一篇: WAF是怎么区别常规防火墙的?
下一篇: 网盾极风云BGP数据中心有什么优势?