浅谈个人博客网站or屌丝vps服务器暴露真实IP的危险性

经常关注张戈博客的朋友应该注意到,张戈在以往的文章中多次提到要隐藏我们网站服务器的真实IP,比如最近分享的《阿里云盾网站安全防御(WAF)的正确使用方法》,肯定有不少人心怀疑问,这是为什么呢?

浅谈个人博客网站or屌丝vps服务器暴露真实IP的危险性

一、为啥隐藏真实IP?

今天,抛出这样一个话题,也是为了提醒那些还懵懵懂懂,毫无设防的屌丝站长们!我们是小网站,我们用的也是屌丝服务器,不像腾讯、网易那些大站用的是价格昂贵、性能卓越的高性能、高可用集群。我们这种屌丝服务器一旦被人恶意攻击基本玩完!

也许,大部分人和我有一样的想法:这有啥,开启高防CDN啊!比如百度云加速、360网站卫士以及安全宝等。确实,使用国内免费的高防CDN是我们这种屌丝服务器的最佳选择。

当我们使用了高防CDN之后,用户访问路径如下:

用户请求-->高防CDN节点-->源服务器

攻击请求就落到分布式大带宽的CDN节点,如果合理设置好缓存项目,我们的服务器几乎不会受到影响。

看到这,你是否对今天这个话题嗤之以鼻?心里想着暴露真实IP有什么问题?我开启百度云加速不就好了嘛!

不错,这应该就是大部分人的想法了,当然肯定还有大部分人对暴露真实IP无动于衷,不知道有什么危害。

好吧,再往下看你是否依然淡定。

一旦真实IP暴露,攻击者只要在攻击时用类似于hosts手段指定IP去攻击,那就神马CDN都是浮云了!因为攻击请求已绕过了CDN节点,直捣黄龙!而DDoS更甚,可以直接大流量攻击真实IP,非高防服务器会立马死翘翘!

当攻击者通过hosts强行指定源服务器IP来进行攻击时,请求途径如下:

攻击请求-->hosts解析-->源服务器

直接绕过高防CDN节点,落到了源服务器!小带宽,低配置的屌丝服务器,对于大批量的不同IP请求,几乎毫无防御能力!每个IP都是正常的请求,根本无法辨别黑白,那么同时l来1000个,看你死不死?

因此,保护好真实IP不暴露到公网,对于小服务器来说是重中之重!虽然你是新站,暂时没被人盯上,一旦有一点起色就很可能招来各种苍蝇的攻击骚扰。这些苍蝇不一定是因为你的网站挡了他的财路,很可能就因为在你网站留言一些推广被拉黑,也有可能是因为和你换友链被拒绝等等,都可能带来嫉恨似的攻击骚扰!直接原因无它,只因CC攻击成本太低而已!

二、如何隐藏真实IP?

上面也已经说了,目前隐藏真实IP的做法主要是利用国内外一些免费的CDN加速服务。比如国内的百度云加速、加速乐、360网站卫士以及安全宝,国外的CloudFlare。不管有没有备案,都能选择一款适合你的免费产品。

浅谈个人博客网站or屌丝vps服务器暴露真实IP的危险性

当然,如果你不需要加速功能,也可以考虑入住阿里云或腾讯云,然后使用免费的WAF防御服务,也能使用cname解析,起到改变网站IP的效果。

实际上,如此设置之后,在隐藏真实IP的同时,也杜绝了网络上那些到处扫描端口、扫描漏洞的行为。

三、个人经验分享

那用这些高防CDN隐藏真实IP之后,是否百分百可靠呢?且继续看。

不久前,张戈博客被一大波苍蝇攻击,1核CPU配置下的 load average 直接达到10+!我挺奇怪的,因为张戈博客早已实现了纯静态化,被攻击不应该产生这么高的CPU负载才对,因为都是 html 页面。

网站已经龟速,容不得我细究。我立刻将网站迁移到百度云加速,设置为完全缓存,结果发现网站打开速度变快了,但是CPU负载还是没有明显的改善,这是为什么?

当我查看 nginx 的 access.log 才恍然大悟,原来是 postviews 插件的 ajax 统计!就算你是纯静态html,被打开的时候,还是会产生一个 ajax 动态请求来记录浏览数,从而导致了cpu的狂飙,被请求的路径是:

http://zhangge.net/wp-admin/admin-ajax.php

我最开始想到的解决方法是,直接将 admin-ajax.php 重命名,让请求变成404状态,CPU瞬间恢复正常!

重命名之后,在WP后台操作的时候发现一个问题,后台很多操作都不能生效了,比如我点击批准了一个评论,刷新后评论又变成待审核了。看来后台的很多操作也是ajax请求了这个文件!

既然不能重命名了,那只好想其他办法了!在页面里面看到这个 postviews 的 ajax 请求代码如下:

因此,我想到的临时解决办法是修改 admin-ajax.php 这个文件,在<?php 后面加入如下内容:

保存后,CPU 压力立马消失无影无踪!因为我让浏览统计临时失效了。浏览统计这种不痛不痒的功能,影响不大。等攻击消停之后再改回来就是。

从这个案例,我们可以看出,百度云加速等高防CDN并不是百分百有效的。当攻击者用数以万计的不同IP来请求的时候,只要你页面中存在一个动态请求,负载就上去了!

最后分享一个小经验,我2个网站的360网站卫士和百度云加速解析记录与各种设置都是以前就设置好了的,一旦被攻击,我只要立刻将NS记录指向云加速或360的NS服务器即可,方便又快捷!这就叫运筹帷幄,未雨绸缪,不管有没有攻击都要留好紧急恢复后路,避免不必要的损失。

好了,磨叽叭嗦的就说到这里,希望我这篇文章能起到正能量的作用,而不是给那些苍蝇们提供了一个无视高防CDN的攻击途径!当然,张戈在这里也奉劝那些整天没事喜欢CC攻击小网站的朋友,这点攻击手段真的很菜鸟,很逗逼,很没技术含量,你真要有本事,敢不敢去做一个白帽子造福互联网?

您还未添加分享代码,请到主题选项中,添加百度分享代码!

发表评论

gravatar

:?::razz::sad::evil::!::smile::oops::grin::eek::shock::???::cool::lol::mad::twisted::roll::wink::idea::arrow::neutral::cry::mrgreen:

刷新评论

目前评论:80   其中:访客  61   博主  19

  1. 幻杀博客 5 来自天朝的朋友 谷歌浏览器 Windows 7 浙江省杭州市 阿里云BGP数据中心

    是的,一般打站的时候,能有IP会方便很多,所以wordpress必须关闭注册功能,否则,IP也会泄露的

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 电信

      很多途径都能暴露IP,真是头疼。

  2. 周俊奇 0 来自天朝的朋友 谷歌浏览器 Windows 10 广东省深圳市 电信

    一个合格的攻击者肯定要找源站IP才攻击的,其实很多方法可以找到源站IP,网站如果没启用企业邮箱,用主机自带的邮箱,回复邮件就会泄漏源站IP,而且免费的CDN一旦超过他的限值就回源了,我的解决方案是多主机,不同主机头各解析一个IP,在国内买个差的像阿里云58元一年的,还可以用来备案,再在国外买个带硬防的主机,加上细分解析线路CDN,再加拒绝代理访问,基本能保证小批量的DDOS,大批量的打我这种小站,他自己不划算。

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 电信

      很有营养的评论,赞一个。

    • 幻杀博客 5 来自天朝的朋友 火狐浏览器 Windows 10 北京市 联通

      找不到,就打到回源 :grin:

    • JACK的机器人 3 来自天朝的朋友 谷歌浏览器 Windows 8 湖北省宜昌市 移动

      真技术,顶一下 :mrgreen:

  3. 胡歌网摘 4 来自天朝的朋友 谷歌浏览器 Windows 7 云南省大理州 电信

    张戈,我想问下,查看你博客页面的html代码,里面的空格和换行都被去除了,是用什么插件做到的?谢谢。

  4. 陌小雨 5 来自天朝的朋友 谷歌浏览器 Windows 7 广东省佛山市 电信

    屌丝站长过来学习下,感谢博主分享。

  5. 北京seo 2 来自天朝的朋友 搜狗浏览器 Windows 8 北京市 联通

    代码不是很懂

  6. 微饭 3 来自天朝的朋友 谷歌浏览器 Windows 7 重庆市 电信

    一般,百度CDN和加速乐CDN就够用了,我一般被攻击了就切换到加强防护,作用还是挺不错的,实在是遇到一些逗比不要命的来,就开负载均衡来抗,阿里云的负载均衡也不贵。

    • 张戈博客 [博主] 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 电信

      阿里云负载均衡是建立在2台以上ECS的基础上吧,有人不要命的来,说明咱们网站已经发展到一定程度了。

      • 微饭 3 来自天朝的朋友 谷歌浏览器 Windows 7 重庆市江津区 /巴南区电信

        对的,可以购买按需付费的。弹性运用就行。

  7. 懿古今 2 来自天朝的朋友 谷歌浏览器 Windows 7 广西梧州市 电信

    真不明白为啥要攻击小博客小网站,我技术不行,不敢玩VPS,也玩不起

  8. 撒哈拉的小猫 5 来自天朝的朋友 谷歌浏览器 Windows 7 广西南宁市 联通

    怎么说了那么久,也没教我们怎么隐藏真实IP啊、、

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 联通

      不看第二段?《二、如何隐藏真实IP?》

  9. 动漫资讯 5 来自天朝的朋友 谷歌浏览器 Windows XP 河南省郑州市 联通

    博主的博客一直在更新,不错哈

  10. 梦想网络 5 来自天朝的朋友 火狐浏览器 Windows 10 浙江省温州市苍南县 电信

    我的屌丝vps自从ip暴露后被端口扫描。。。被封了。

  11. 挖资源部落 1 来自天朝的朋友 火狐浏览器 Windows 7 广东省东莞市 电信

    这些小朋友 就是闲着没事蛋疼,我以前接触过一个学这个的朋友,他那时候也是拿着小站试手。哎!真是闲的

  12. 夏日博客 5 来自天朝的朋友 谷歌浏览器 Windows XP 北京市海淀区 首都在线数据中心

    使用CDN貌似安全性会好一些。

  13. World 3 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 电信

    防不胜防啊

  14. 文栋SEO 1 来自天朝的朋友 火狐浏览器 Windows 8.1 甘肃省兰州市 电信

    张大大威武霸气高大上,不过有一个感觉不对的地方就是当我双击上面的输入框输入已经缓存记忆的内容的时候,屏幕就会缓缓的往上移

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 联通

      不是能自动加载么?说明你用了2个评论身份。 往上滚是懒人功能,自动读屏。

  15. 瑾瑜 4 来自天朝的朋友 火狐浏览器5.0 Windows 8.1 安徽省合肥市 中国科学技术大学

    还没用过CDN呢~不知道未备案的速度怎么样,毕竟现在的速度还可以。

  16. 利好贷 0 来自天朝的朋友 谷歌浏览器 Windows 7 福建省厦门市 电信

    关键是还没有有效的防御的手段啊

  17. 松果 3 来自天朝的朋友 火狐浏览器 Windows 8.1 天津市 电信IDC机房

    哈哈,不要说DDOS攻击是菜鸟的行为,因为,至今为止,最简单的让网站倒下的办法就是DDOS。

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 联通

      貌似我文章说的是最简单的CC攻击

  18. 阿飞 1 来自天朝的朋友 Safari浏览器  Android 5.0.2 HTC D816e Build/LRX22G 广东省深圳市 电信

    貌似用站长工具seo查询一下我的小网站,什么都出来了。

  19. 我爱书籍 4 来自天朝的朋友 谷歌浏览器 Windows 7 江苏省南京市 电信

    确实很好的方法 收藏了

  20. 牛俊亮博客 0 来自天朝的朋友 Safari浏览器  Android 4.0 河南省鹤壁市 联通

    不错的技术,收藏了
    http://niujunliang.com

  21. Youth.霖 4 来自天朝的朋友 谷歌浏览器 Linux 吉林省长春市 吉林大学

    图片挂了,但点击能够浮在页面上显示

    评论
    404 Not Found

    The requested URL was not found on this server. Sorry for the inconvenience.
    Please report this message and include the following information to us.
    Thank you very much!

    URL: 评论
    Server: mars_server
    Date: 2015/05/18 09:30:13
    Powered by Tengine

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 电信

      现在应该好了,折腾Nginx缩略图时的错误,可能被百度云加速缓存了。

  22. 宠物天空网 0 来自天朝的朋友 Safari浏览器 Mac OS X 10_9_5 北京市 联通

    最近网站一直被攻击,几乎没有浏览的小站,唉!做个网站真不容易啊!

  23. 方法SEO顾问 4 来自天朝的朋友 谷歌浏览器 Windows 7 北京市 北京网联光通技术有限公司(信联云网)

    用了WP-super-cache之后,页面浏览量就无法被记录了,怎么破?

    • 张戈 [博主] 来自天朝的朋友 Internet Explorer Windows 7 广东省广州市 电信

      wp postviews插件兼容静态缓存,采用ajax提交浏览数,后台可以看到实时数据,只是前台被缓存,需要缓存清理后才能刷新。

  24. 小幻 5 来自天朝的朋友 火狐浏览器 Windows 8.1 山东省青岛市 电信

    PHPDOS,这个很有趣的,比CC好玩多了~
    如果能直接连进VPS,直接fork :grin:

    • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Windows 7 广东省广州市 电信

      都能连进VPS了,还折腾这些?
      直接rm -rf / 世界就清静了。

  25. koty 1 来自天朝的朋友 谷歌浏览器 Windows XP 广东省深圳市福田区 电信

    是否可以写个脚本用iptables自带防火墙拦截?

  26. 西贝博客 4 来自天朝的朋友 Safari浏览器 Mac OS X 10_10_3 河南省 移动

    签到成功!签到时间:09:24:56 GMT+8,每日签到,生活更精彩哦~

  27. 西贝博客 4 来自天朝的朋友 Safari浏览器 iPhone iPhone OS 8_3 like Mac OS X) AppleWebKit 河南省 移动

    貌似很危险的感觉!

  28. 同盟源 5 来自天朝的朋友 谷歌浏览器 Windows 7 安徽省芜湖市 电信

    以前我的站也被攻击过,最大的一次竟然每秒2.4G,不知道什么仇什么很

  29. 支付宝借条 2 来自天朝的朋友 搜狗浏览器 Windows 7 广东省深圳市 电信

    赞一个~~哈哈

  30. 创意应用 1 来自天朝的朋友 谷歌浏览器 Mac OS X 10_10_4 湖南省 电信

    其实还是觉得有些VPS可以在主机外面布一层路由来隐藏IP比较好,阿里云的云盾也是个坑。cdn有时候碰到动态的内容你又不能全用

  31. 御坂网络 0 来自天朝的朋友 谷歌浏览器 Windows 7 江西省萍乡市 电信

    看来隐藏IP是非常重要的呢

  32. 男生女生银版 4 来自天朝的朋友 搜狗浏览器 Windows 7 广东省广州市 电信

    用百度加速还好,用360就呵呵了。测下网址的DNS就给暴露真实IP了
    **.***.**.253 [浙江省杭州市 阿里云BGP数据中心]

    • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Windows 7 广东省深圳市 联通

      这还真不是我的真实IP,也不知道你在哪查到的。

      • 男生女生银版 4 来自天朝的朋友 搜狗浏览器 Windows 7 广东省广州市 电信

        我知道了,是阿里云盾的。

        • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Windows 7 广东省广州市 电信

          我是设置了一个记录不走360,所以解析到了云盾。

          • 男生女生银版 4 来自天朝的朋友 搜狗浏览器 Windows 7 广东省广州市 电信

            我试了一下,用360网站卫士的确是有地方直接解析到源地址。你的套了一层云盾,就解析到云盾了。

            • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Windows 7 广东省广州市 电信

              我在360是直接解析真实IP的,并没有套云盾。只是额外对国外线路解析到了云盾而已。你说的解析到源地址估计是有些地方的DNS缓存,缓存了以前的真实记录。

  33. 星空 3 来自天朝的朋友 谷歌浏览器 Windows 7 江西省宜春市 宜春学院

    这个好,经常听见别人的网站被攻击。现在。。

  34. 珠海装修 1 来自天朝的朋友 谷歌浏览器 Windows XP 广东省珠海市 联通

    博客很牛啊,一看就是高手

  35. 珠海装修公司 1 来自天朝的朋友 谷歌浏览器 Windows XP 广东省珠海市 联通

    给你顶起

  36. 科研动力 3 来自天朝的朋友 谷歌浏览器 Windows 7 贵州省贵阳市 电信

    但是使用CDN好像HTTPS就不能用了,这又如何解决

  37. rainman 4 这家伙可能用了岛国的代理 谷歌浏览器 Mac OS X 10_10_4 日本 东京都Linode公司KDDI数据中心

    张戈您好,我的网站选择了阿里云 CDN,并且将 @.domain.name CNAME 到 CDN,这样 @.domain.name 就不会暴露真实 IP 了。
    但是我将 www 重定向至了 @,重定向是直接使用 nginx rewrite 的。
    那这样的话,www.domain.name 不就暴露了真实的 IP 吗?签到成功!

    • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Mac OS X 10_11_1 广东省深圳市 电信

      你可以把www也cname到CDN,301依然有效,IP也没暴露。

      • rainman 4 来自天朝的朋友 谷歌浏览器 Mac OS X 10_10_4 江苏省连云港市 电信

        这样啊~非常感谢!!!

  38. 中华神韵网 2 来自天朝的朋友 谷歌浏览器 Windows 8.1 北京市 电信通酒仙桥数据中心

    呵呵哒 并看不懂。。。

  39. 源码迷 1 来自天朝的朋友 QQ浏览器  Android 6.0.1 MI NOTE LTE Build/MMB29M 安徽省安庆市 联通

    签到成功!签到时间:1:44:20 AM,每日签到,生活更精彩哦~

  40. rainman 4 来自天朝的朋友 谷歌浏览器 Mac OS X 10_10_5 江苏省连云港市 电信

    张戈您好~想请教您几个关于真实 ip 的问题..
    1.因为 cdn 对动态请求是回源的,如果直接对 cdn cc,那么网站还是一样炸吧,只是炸的方式不一样了。
    2.如果一不小心泄露了真实 ip,那么后面不管怎么隐藏,都没用了吧…因为可以通过改 host 跳过 cdn。
    3.虽然 ip 的数量有很多,但是阿里云某一个地区拥有的 ip 其实是很少的,那可不可以通过 curl 指定 host 的形式枚举 ip 访问,然后通过正则匹配之类的找到网站的真实 ip?

    • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Windows 7 广东省广州市 电信

      1、CDN 动态攻击,确实可能导致源站服务器卡B,但是有个好处,不会影响用户访问正常页面,因为已缓存到CDN节点。
      2、直接攻击IP,其实是可以用防火墙防御,或者安装云锁,通过浏览器校验进行初步防御
      3、不是找不到,而是要花很大精力,一般小网站别人也没必要这样费劲,大网站本身很强,暴露也没事。

      • rainman 4 来自天朝的朋友 谷歌浏览器 Mac OS X 10_11_3 江苏省连云港市 电信

        多谢指点!所以感觉个人的小网站真正能有效解决问题的还是要靠静态化…

  41. 蓬勃财经直播室 0 来自天朝的朋友 谷歌浏览器 Windows 7 上海市卢湾区 电信

    [color=yellow][color=lime]能用多少种颜色,我就试试[/color][/color]

  42. junze 2 来自天朝的朋友 谷歌浏览器 Mac OS X 10_10_4 北京市朝阳区 铜牛国贸CBD数据机房(光华路15号院2号楼铜牛国际大厦B1)

    现在国内的哪个CDN支持HTTPS?
    VeryCDN好用不?
    我看博主用的是VeryCDN

  43. 软膜天花 1 来自天朝的朋友 谷歌浏览器 Windows 7 广东省广州市 电信

    第一次来,博客做的很不错

  44. 伪极客 5 来自天朝的朋友 谷歌浏览器 Mac OS X 10_11_3 湖北省武汉市 电信

    学习 感谢分享

  45. 张new 2 来自天朝的朋友 谷歌浏览器 Windows 10 河北省唐山市 电信

    屌丝站长表示迁移到 github pages + hexo 了

    • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Mac OS X 10_11_3 广东省深圳市 移动

      厉害,玩的是真技术。

      • 张new 2 来自天朝的朋友 谷歌浏览器 Windows 10 河北省唐山市 电信

        。。。比您可差远了

        • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Windows 7 广东省深圳市 移动

          过谦了,有空多交流。

          • 张new 2 来自天朝的朋友 谷歌浏览器 Windows 10 河北省唐山市 电信

            嘿嘿,我还加了你个人微信号呢。

            你这个页面一打开提示“请求超时,请稍后再试”

  46. 无忧移民人网 1 来自天朝的朋友 谷歌浏览器 Windows 7 湖北省襄阳市 电信

    太好的文章,已经珍藏了!

  47. 晓坤 1 来自天朝的朋友 谷歌浏览器 Windows 7 湖南省 电信

    那么问题来了,我的服务器商跟我说,解析 不 能 加 CDN! 何解? 为啥就不能加CDN呢?我不是很明白…然后请问我还有啥办法能解决的吗?然后顺便问一下博主有没有彻底解决admin-ajax.php问题的呢?我用检测过WordPress 默认有2个后门,一个是wp-install.php和admin-ajax.php,前者删掉无碍,后者也只能暂时,况且不能24小时防着..

    • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Windows 7 广东省广州市 电信

      自己能够操作域名解析那就没服务器什么事了,自己加CDN就可以了,除非服务商把CDN节点IP拉黑了。
      ajax.php这个不算后门吧,基本都要用到。

  48. weiming 0 来自天朝的朋友 Safari浏览器 iPhone iPhone OS 10_2 like Mac OS X) AppleWebKit 中国 移动

    喜欢cc的都是一群沙壁

  49. 聚美图 0 来自天朝的朋友 搜狗浏览器 Windows 7 浙江省金华市 电信

    网站开设第一时间就用上了百度云

  50. Mike_Ye 2 Spain QQ浏览器 Windows 10 西班牙

    应对CC攻击,我是用国内阿里云,反代国外主机,外加5台服务器的均衡负载,上次博客被攻击时候,国内阿里云的1M带宽主机直接给消耗完毕,但是 CPU0.01%,国外几台主机完全没受到一点点影响,还有,善用域名解析的营运商线路,默认,海外,电信,联通,各解析一个ip,你会发现,CC也就是那么回事,各地区的代理,完全给区分到不同的服务器上了!

    • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Mac OS X 10_11_3 广东省深圳市 电信

      知其然的人肯定可以应付,很多小白站长朋友却束手无策,隐藏IP还是可以少些麻烦。
      另外,暴露IP被DDOS也是挺麻烦的事情

加载中,请稍候...