最近,主机帮接了一位客户接入百度云防护,服务器更换了新ip,用了百度云防护cdn隐藏起来,结果没两天服务器又被ddos了。
主机帮在确认新换的ip没有使用过后,域名也没有解析暴露过ip的情况下,我们通过censys查询域名,发现居然可以轻松的查到源服务器ip。
原来是客户的源服务器在部署ssl证书的时候泄漏了源服务器ip,在某些情况下,服务器ip如果没有部署ssl证书的话,会默认把服务器的第一个网站的ssl证书部署到ip上,这个时候用https访问服务器ip,就会暴露出这个ip绑定了哪个域名。
而censys就是利用了这个原理,来反查域名源服务器ip,一般来说如果没有做特殊设置的话,基本都是一查一个准。
考虑到客户不懂设置ssl,我们直接让客户把源服务器的ssl都下了,然后通过百度云防护https转发http即可实现ssl部署效果,这样设置类似于百度云加速以前的半程加密。
成功部署后,果然查不到最新换的ip了。
以前的宝塔面板后台没有部署ssl的时候,就会出现cdn暴露ip的情况,目前宝塔都是可以设置ssl了,安全多了。
