1. <button id="h2mux"></button>
      <tbody id="h2mux"></tbody>

    2. 當前位置:高防服務器 > 高防CDN加速 > 如何防止免備案高防CDN防護被繞過

      如何防止免備案高防CDN防護被繞過

      來源:未知 編輯:admin 2018-11-21 21049

      摘要:  當發現目標站點存在CDN防護的時候,我們會嘗試通過查找站點的真實IP,從而繞過CDN防護。   我們來看一個比較常見的基于公有云的高可用架構,即:

        當發現目標站點存在CDN防護的時候,我們會嘗試通過查找站點的真實IP,從而繞過CDN防護。

        我們來看一個比較常見的基于公有云的高可用架構,即:

        域名-->CDN,CDN-->WAF,WAF-->SLB,SLB-->ECS。

       

        我們重點來關注一下CDN-->WAF-->SLB-->ECS這幾層服務之間的關系吧。

        假設,攻擊者知道SLB的真實IP地址,就可以直接訪問SLB的ip地址,從而輕易繞過CDN+WAF的安全防護。

        如何防止CDN被繞過呢?

        這里分享一個免備案高防CDN防護技巧,通過中間件配置只允許域名訪問,禁止ip訪問。

        這樣處理的話,所有直接訪問站點真實IP的請求將會被拒絕,任何用戶只能通過域名訪問站點,通過預先設定的網絡鏈路,從DNS→CDN→waf防護→源站,所有的域名訪問請求都必須經過WAF檢測。

        Nginx參考配置:

        #添加一個server,在原server里綁定域名server { listen 80 default; server_name _; return 403; }server { listen 80; server_name www.demo.com; .........

        Apache參考配置:

        #在httpd.conf最后面加上 ServerName 此處填寫IP Order Allow,Deny Deny from all DocumentRoot /var/www/html ServerName 此處填寫域名

        我們再來思考一個問題?

        如果攻擊者有了真實IP地址,修改本地hosts文件,強行將域名與IP解析,從而本地訪問請求是無需經過DNS解析,還是可以繞過CDN加速服務防護。

        這個策略,本質上是一個減緩措施,增加了尋找真實IP的難度。

      相關文章

      關注我們

      版權所有:Copyright @ 2016-2017 深圳市銳速云計算有限公司 增值電信業務經營許可證
      粵B1-20171508
      粵ICP備16119720號-1 粵公網安備11010802009023號