今天,有位客户联系上主机帮,反馈网站流量没有经过京东云星盾,DDOS流量打到阿里云服务器去了,导致进黑洞了。
但这种说法是不成立的,因为如果攻击来自域名请求的话,是很难造成阿里云服务器黑洞的,阿里云服务器的黑洞峰值是5G,而通域名攻击的话基本是CC攻击,CC攻击所产生的流量很难达到5G的。
所以我们判断客户网站的源服务器IP可能暴露了,导致被黑客直接通过IP DDOS攻击了。
那我们论证:
1.同服务器IP是否有运行有其它网站?并且该网站是直接解析源服务器IP?
回答:没有,只有同一服务器下只有被攻击的一个网站。
2.同域名下的子域名是否有直接解析源服务器IP的情况?
回答:没有,该域名下子域名都通过京东云星盾访问。
3. 服务器是否部署有邮箱?
回答:没有
以上都没有的话,那可能是服务器安全方面没做好,导致被查询到源服务器IP了,我们尝试通过censys查询域名后,发现果然查到了服务器IP。
然后我们点击查询服务器IP后,发现是服务器IP默认部署了网站域名的SSL证书导致,导致泄露了IP。
这种泄露IP的方式,其实很常见,以前宝塔面板没有设置HTTPS功能也会遇到这个问题,现在一般都会强制HTTPS自签证书。以确保因为IP绑定了域名证书导致泄露了这个IP绑定哪个域名。
解决办法也很简单,给服务器IP强行部署一个虚假的SSL证书就行,可以生成测试SSL证书工具生成。
比如:https://myssl.com/create_test_cert.html
同时,我们需要给服务器重新更换一个新的IP,并用高防CDN隐藏起来。
如果觉得还不保险,可以通过阿里云安全组,把非高防CDN的IP段都拦截,只放行高防CDN的IP进来,这样最安全。
