最近从网站的攻防战中学到了不少东西,还接识了一个专门做网站防护的同县城老乡,给了我不少的信心。
这几天网站能够保证一定时长的访问,能够让我更新2-3篇文章不受阻碍,主要也是我这位老乡的功劳真的。今天我网站的Cc攻击量达到了200万的并发,算是达到了一个空前的高度,不过,我是一点也不慌,趁着周末去打了一场球。
晚上回来,洗洗手,吃了饭,这不又开始给大家分享经验了。
今天分享的一个经验:
你装在nginx中的ssl证书会暴露你的源IP地址
这里面具体细节我就不说了,以免被一些有心之人学去干坏事。
大概过程我讲一下
我们站长网站如果被打死,通常都要换一个服务器换一个IP然后启用cdn进行防护,虽然ip隐藏的,但是某个国外网站,可以扫到这些最新激活启用的ipv4地址,虽然不能直接对应上某个网站域名,但是只要查一下ssl证书,就可以和某个域名对应上。
这个虽然不是很容易,但也算不上太难。
某些站长一直使用的香港ip,那我把最新启用的香港ip一个个查过去,就可以了。
比如下面这个
我在浏览器中输入ip地址访问某网站,然后点击那浏览器那把小锁就可以看到这个证书是qia.la这个网站的源服务器ip。这样一来,我要攻击qia.la这个网站,我只要攻击上面这个ip地址就行了,启用的高防Cdn也就失效了。
那么怎么防范这个呢?
也很简单。
以宝塔面板为例子,我们只需要创建一个空白网站,然后给这个网站部署一个空白的Ssl证书,然后在宝塔后台将这个空白网站设置为默认站点即可。
按照这个方法设置好之后,访问ip地址就看不到证书颁发给哪个域名了
至于哪里可以找到空白的ssl证书,大家可以关注我公众号lekuwz,搜索找到这篇文章,文章里面有收集2个空白证书供各位使用。
标签: