最近,主机帮接了一位客户接入百度云防护,服务器更换了新IP,用了百度云防护CDN隐藏起来,结果没两天服务器又被DDOS了。
主机帮在确认新换的IP没有使用过后,域名也没有解析暴露过IP的情况下,我们通过censys查询域名,发现居然可以轻松的查到源服务器IP。
原来是客户的源服务器在部署SSL证书的时候泄漏了源服务器IP,在某些情况下,服务器IP如果没有部署SSL证书的话,会默认把服务器的第一个网站的SSL证书部署到IP上,这个时候用HTTPS访问服务器IP,就会暴露出这个IP绑定了哪个域名。
而censys就是利用了这个原理,来反查域名源服务器IP,一般来说如果没有做特殊设置的话,基本都是一查一个准。
考虑到客户不懂设置SSL,我们直接让客户把源服务器的SSL都下了,然后通过百度云防护HTTPS转发HTTP即可实现SSL部署效果,这样设置类似于百度云加速以前的半程加密。
成功部署后,果然查不到最新换的IP了。
以前的宝塔面板后台没有部署SSL的时候,就会出现CDN暴露IP的情况,目前宝塔都是可以设置SSL了,安全多了。
