行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
如何防止免备案高防CDN防护被绕过
2021-02-20 15:14:14 【

当发现目标站点存在CDN防护的时候,我们会尝试通过查找站点的真实IP,从而绕过CDN防护。

我们来看一个比较常见的基于公有云的高可用架构,即:

域名-->CDN,CDN-->WAF,WAF-->SLB,SLB-->ECS。


我们重点来关注一下CDN-->WAF-->SLB-->ECS这几层服务之间的关系吧。

假设,攻击者知道SLB的真实IP地址,就可以直接访问SLB的ip地址,从而轻易绕过CDN+WAF的安全防护。

如何防止CDN被绕过呢?

这里分享一个免备案高防CDN防护技巧,通过中间件配置只允许域名访问,禁止ip访问。

这样处理的话,所有直接访问站点真实IP的请求将会被拒绝,任何用户只能通过域名访问站点,通过预先设定的网络链路,从DNS→CDN→waf防护→源站,所有的域名访问请求都必须经过WAF检测。

Nginx参考配置:


#添加一个server,在原server里绑定域名server  {        listen 80 default;        server_name _;        return 403;    }server {        listen       80;        server_name  www.demo.com;        .........

Apache参考配置:


#在httpd.conf最后面加上<VirtualHost 此处填写IP>        ServerName 此处填写IP        <Location />            Order Allow,Deny            Deny from all        </Location></VirtualHost><VirtualHost 此处填写IP>        DocumentRoot /var/www/html        ServerName   此处填写域名</VirtualHost>

我们再来思考一个问题?

如果攻击者有了真实IP地址,修改本地hosts文件,强行将域名与IP解析,从而本地访问请求是无需经过DNS解析,还是可以绕过CDN加速服务防护。

这个策略,本质上是一个减缓措施,增加了寻找真实IP的难度。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇没有了 下一篇免备案CDN加速电商行业网站,让用..

立足首都,辐射全球,免备案服务器网专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
Copyright ? 2003-2016 gnmianbeian.com. 免备案服务器网版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800