设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 1224|回复: 0

kangle如何禁用https的ip地址访问,存在CDN背后源站真实ip泄露导致引起ddos安全隐患

[复制链接]
 成长值: 249

签到天数: 4708 天

[LV.Master]伴坛终老

发表于 2023/4/4 18:15 | 显示全部楼层 |阅读模式 |Google Chrome 111.0.0.0|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
kangle如何禁用https的ip地址访问,存在CDN背后源站真实ip泄露导致引起ddos安全隐患

1.png
例如在 https://search.censys.io/ 中可以得到真实源站ip地址信息
新购买的服务器,被censys全网扫描https ip,都有使用CDN保护不存在泄露ip情况,但是基本隔一天在去查询,censys就会轻松把真实ip和域名关联起来,因为对方会全网扫描世界上所有的ip地址。

完美效果
https://104.18.31.69/
和cf cdn一样,输出ERR_SSL_VERSION_OR_CIPHER_MISMATCH 信息,此时不会响应给浏览器任何证书信息,在交互证书之前就阻断了访问

同时如果请求头包含使用不同的host,也不应当输出其它域名的证书信息,希望做个请求控制模块加强一下
例子模块两个选项,加一个复选框
默认允许自签名等任意域名响应https 不允许跨https站点访问,强制要求校验和证书域名一致性 复选框不允许https直接访问ip

这个问题很早以前就提过,希望能解决下,因为今天看到有人发了视频把这种ddos攻击方法曝光出来了
https://www.bilibili.com/video/av951981641

早几年能想到的办法就和up一样,在ep里创建个站点空间,域名绑定处填写ip地址绑定,然后设置一个自定义证书,弄个错误的证书上去

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2024/11/24 09:11 , Processed in 0.105662 second(s), 21 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表