TIPS
1-如果你的服务器要搭建多个网站,一定要设置不同的数据库表前缀,不然如果再使用Redis的话,会导致数据错乱。
域名
如果你要成立一个品牌或者公司,要像注册商标一样,提前抢注你心仪的域名,否则就得出高价从他人那里购买。
如果心仪域名已经在别人手里,又不想出高价购买,可以看此域名主人会不会到期不续费,在此域名过期60-75天的时候,可以提前去西部数码或阿里云等平台预约抢注。
域名是由国际组织ICANN定义,分配和管理的,最初属于美国的资产及管理权,后来在各国的反响下独立出来一个国际组织,中立的非盈利性机构专门来策划、分配、管理互联网。因此,所有域名均由ICANN负责管理和分配,但国家地区类域名,如我们国家的CN后缀,一般都是ICANN授权当地机构进行统一管理和分配。
2015年初,360公司以1亿人民币的价格从美国运营商Vodafone手中买下了360.com这个国际顶级域名,创造了当时全球域名交易的纪录。
2014年4月,小米公司以360万美元(约合人民币2240万)的价格购得了mi.com这个域名,成为当年中国交易最高的域名。
2014年,京东公司以3000万美元(约合人民币1.95亿元)的价格购买了jd.com这个两字母短域名。在此之前,京东一直使用360buy.com这个与其品牌无关且容易与360公司混淆的域名。jd.com不仅简洁明了,也提升了京东公司的品牌价值和流量效率。
X.com是一个非常有价值的单字母域名,它曾经属于马斯克的第一家创业公司X.com,后来被Paypal收购。2017年,马斯克以高价从Paypal手中买回了这个域名,但是一直没有启用。最近,马斯克把twitter.com换成了X.com。
1-正常注册的COM域名,在2023年,每年费用为70左右。当我的网站知名度上升后,续费域名会涨价吗?
域名价格标准是域名注册局规定的,各大平台如腾讯,阿里,godaddy只是帮你”代注册”,价格浮动与域名注册局标准价格相差不大。
因为你的域名实际上是从域名管理局买的,不是从代理商那里买的,管理局有费用标准不会乱涨价。
所以即使代理商涨价,换个代理商平台即可。
所以也不会存在域名知名度高后,续费价格上涨的问题,不然全乱套了。平时涨价也是所有域名稍作调整,最多贵个十多块钱。
2-网站为什么要icp备案?
备案是国际工信部互联网安全等机构指定的,为了防止一些人用网站进行非法活动,当网站备案后,就能找到相关负责人。
域名绑定国内服务器都需要进行域名备案后,服务器才能使用,这是国家要求所有国内服务器厂商做的限制。(否则有人非法活动,又是国内服务器厂商提供的服务,厂商就要担责,所以厂商需要确定你的网站已经备案,这样就是备案人担责)
如果你用国外服务器或者香港服务器,国外服务器厂商不受我国要求限制,就不需要备案即可将服务器绑定域名。(国内有可能将此服务器IP拉入黑名单,导致国内用户无法访问,所以一般买香港的)
TIP1:当域名不再使用,需要及时去注销备案。因为管局不会每天去审核谁的网站还有没有运营,只会定期抽查,如果你的域名到期后被别人注册,进行了非法活动,那么出事了,备案人还是你。
TIP2:COM域名你去godaddy等平台都不需要实名认证就可以购买和解析,但是CN域名就算是在国外平台注册也得实名认证的。
TIP3:其实国内服务器还可以绕备案,教程百度即可,但是一个规矩是不允许的,你去钻漏洞即使成功了,也是违规的,后续使用也很容易遇到问题,不如买个香港云。
TIP4:如果你是国内服务器,要icp备案,用的哪个平台的服务器就去哪个平台备案,和域名所在平台没关系。
TIP5:icp备案是不分交互式的(公安备案才分交互式),但是分个人备案和企业备案,个人备案是不能盈利的,大部分省份也是不允许交互的(如用户注册登入和发评论)。(走香港云自然就不需要icp备案了,但还是需要公安备)
TIP6:公安备案的交互式,基本上需要线下去网安大队审核,非交互式一般线上就行了。(其实没那么多人管这些,别说申请交互式了,很多人根本没有公安备案,照样开评论等交互式功能,都没事,不过想要网站长期运营,还是按流程来比较好。也看你对业务的把控,你是正能量的东西没有公安备一般也不会处罚你,最多叫你注意然后完善备案。否则还是避免用cn域名,选择用com等域名,走香港云或者国外服务器,根本不需要备案,怎么盈利那就看你自己了)
TIP7:无论是icp管局备还是公安备案,备案地址一般选主体(你自己)身份证上的地址,因为大部分省份只受理本地备案或者有当地居住证的人才可以。
TIP8:cn域名也可以用境外服务器的。但是用境外服务器虽然不用icp备案,但是没有这个备案的网站,搜索引擎的SEO对其一般不友好。
TIP9:域名备案的时候,网站名称记得想好,后续网站title必须包含备案网站名称(合规情况下,一般也没人管)
总而言之言而总之,有两个备案
icp管局备案:你用国内服务器就必须要备案,用国外服务器就不需要备案。然后个人备案的icp管局备案大部分省份不允许网站进行交互(注册登入和评论等操作)
公安备案:无论用不用国内服务器都要求备案,要求是开站icp备案下来30天内进行公安备案,否则可以给予警告或关站整改。但是不严,大部分网站没有公安备案过。在这里申请交互式基本上也需要线下。
两个备案互不联系职能不同:如果管局备案是个人备案,理论是不允许交互的,然而公安备案我申请交互式又通过了,但如果我的网站交互,被管局发现,即使公安备案了交互式,也和管局不相干,可能也会警告要求取消交互。
用海外服务器:不需要管局备案,但同样要进行公安备案,但上文说了,要求不严格,很多人没备案过。看个人吧,比如你godday注册的com域名,又是海外服务器,都无法判断你是国内站点,你是否公安备就看自觉性了。cn域名的话,找你了再备案呗。
看似很繁琐,其实也没那么离谱,只要你不是h,d,d和骗人,提供一些服务,按不了你的head,最多整改罚款。
3-如何icp备案?
企业备案需要营业执照,法人身份证信息等,在企业地址拍视频核验,具体问备案平台即可。
个人备案:在腾讯云平台,填入自己的信息,身份证照片,人脸识别验证,根据要求填入网站相关信息即可。
注意:腾讯云备案页面附件需要提交一份网站建设计划书(图片),还需要本人电子签名(涂鸦前上去就行,或者打印出来拍照);此外还需要把网站建设计划书(word或pdf)通过邮箱发给管局。
注意:一定要备注准确方案书通过邮箱发送给管局的时间,不然管局找不到邮件,就会说你没发网站建设书,白等一个月,备案失败又得重新提交建设书再重新审核。
如果不急,有细节错误都没关系,直接提交备案即可,有问题腾讯人员会打电话给你辅助备案(一天内就会打电话,效率挺高的),腾讯审核通过后才会提交管局审核。
如下word模板:仅供参考,根据你的网站内容简单书写即可。
*新增网站组网方案与解释说明*
一、 *网站服务内容介绍*
当前域名jinnianx.com是具有做信息存放与技术分享等功能。
1、内容介绍:
网站当前主要记录生活与分享资讯的个人网站;用户通过浏览器打开jinnianx.com,可以访问到我的网站,可以按照自己的需求选择对应的栏目,再选择需要打开的链接。
2、域名用途:
jinnianx.com方便用户找寻网站,可以直接打开浏览器,输入我的网址就可以打开我的网站了。
二、 *组网方案*
服务器基础设备配置:
腾讯云轻量应用服务器/ 空间:80G / CPU:4核/ 内存:4G
服务器使用技术及部署情况:
服务器系统程序:CentOS 64位(安全加固)
WEB服务器程序:NGINX + MySQL
*三、网络安全与信息安全管理制度*
(1)负责服务器的日常维护、技术支持,并对服务器的功能提出意见、建议和方案等。
(2)妥善保管好服务器登录密码,不得告诉他人,有事外出或下班时,要及时退出设置项界面。
(3)加强服务器检查。定期对数据存放硬盘空间、CPU使用、内存空间等环境进行检查。发现硬盘存储
空间、CPU异常、内存异常等问题要及时处理,不能及时处理时应向空间商反映,并积极采取措施尽快解
决。
(4)加强服务器的病毒防范。要经常了解和掌握网络病毒的流行情况及其解决方案,并积极采取应对措施。
施,避免对服务器及网络内其它终端的感染。一旦被感染,要及时提出杀毒方案,控制传播范围。定期对
各服务器进行查毒、杀毒。
(5)保障本系统的实时安全运行,负责每天的信息数据备份。
(6)负责对服务器中文件的增加、删除及权限变更工作,严禁无关人员登录服务器。
*四、承诺*
承诺如发现主体信息有误、网站实际开办内容与备案信息不一致、域名有交易行为、网站内容涉及九不准等违法违规问题,接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚
(这里写个电子签名或者手写签名)
日期:2088年8月8日
网站负责人:zdq
4-网站更换服务器,需要重新icp备案吗?
国内域名更换服务器,是同平台服务器,如域名和服务器都是腾讯旗下购买的,更换备案信息的服务器ip即可,不需要重新备案;(因为你其实已经备案了,就换个服务器ip,后续腾讯提交一下新ip信息给管局即可)
更换为另一个平台服务器如阿里云,也不需要重新备案,进行接入备案即可,然后阿里云平台会将修改后的备案信息提交给管局一次,让管局也知道服务器IP变了,服务器提供商变了。(让新的服务器提供商知道你的域名备案了,然后平台再向管局更新信息)
5-网站在管局icp备案通过后,按理说需要在一个月内进行公安备案(审核一般3-5天),不过这玩意说是一个月内需要公安备案,但是很多站点都没备案的,应该不强制,当然和当地政策有关,但是没接到当地网警大队电话的话,可以先不管。
公安备案在信息变更后,如服务器IP变更等,最好也尽早在公安备平台进行信息更新。
tips:
我们公安备案的一般是非交互式,也就是没有用户的注册登入的,如果要有让大众注册登入的交互功能,备案就需要选交互式。(icp备案是不分交互式的,但是icp个人备案大部分省份默认也是不能交互的,也就是不能让用户注册和发评论等操作)
区别:
非交互式:如上内容线上申请一下,等工信局通过就行了。
交互式:不同地区可能不同,大部分地方线上申请后还需要线下面审,但基本上就是确定主体人,然后和你说一些注意事项。(个人为主体就去户籍所在地精确到县,公司为主体就去公司注册地)
备案问题
1-备案服务器ip变更了。
某些情况,当备案的ip和实际网站使用的IP不同,服务商可能会发现,并打电话给我们。这个时候,我们去备案变更服务器即可。
或者我们可以说网站使用了cdn,服务器还是用原先备案平台的(如原先服务器是腾讯云,即备案也在腾讯云)即可,一般就没事了。如果他还要你提供源服务器ip,而你原先备案的服务器ip已经无法使用,那就只能买个便宜的能备案的服务(函数包或者最便宜的服务器),然后用此服务挂载一个网站的单页即可,以后就报这个最便宜服务器的ip(网站实际功能不变,还是放在你无法备案的服务器即可)
服务器
1-总所周知,想用国内服务器为域名提供服务,域名必须备案,但备案又很麻烦,如果你只是用此域名做一个静态网站,则可以用github的仓库代替服务器。
如zhoudongqi.cn此域名在当前2023年9月,并未备案,但我将此域名的DNS解析到github的仓库后(当然在github也需要进行一系列操作绑定并认证zhoudongqi.cn为你自己的域名,操作百度即可),这个仓库就相当于一个服务器为我的域名提供服务。
WHOIS如何隐藏
如果你不想让别人查到当前域名的注册人,怎么办呢?
CN域名查询地址https://webwhois.cnnic.cn/WelcomeServlet
CN域名默认是开启姓名和邮箱的,就算你在注册商这里隐藏(腾讯云,阿里云等),在官网(上面链接)还是可以查到的。
解决:需要花39每年,在注册管理局层面隐藏,具体操作工单咨询域名购买平台(阿里云腾讯云等)客服即可。
COM域名
COM域名一般没有whois详细到个人姓名和邮箱。因为注册局根本没要这个信息(那怎么证明这个域名是你的?我也不清楚~)。
虽然注册局没要,但你在腾讯云或者阿里云注册的com域名也是默认实名了主体的,也证明了你是此站点的持有人,这个信息是保密的(当然你犯事了除外)
其他后缀域名
这些域名有些会显示姓名的英文,但是不会显示邮箱,具体看后缀注册管理局和注册商了。
如何联系COM后缀域名站长
有时想买一个COM域名,站长又没有给出联系方式,因为是com域名whois又查不到信息,怎么办?
可以先简单whois出当前域名注册商,再去去各大注册商(腾讯云,阿里云等)的官方whois平台,一般可以在这里联系到站长(可以通过注册商这个第三方联系,比如你在阿里云的whois告诉阿里云我要联系当前域名站长,阿里云就会发邮箱给站长:说有个人想联系你,你想和他联系吗?)
TIP:一般新注册域名无法马上转出到其他服务商,如阿里云新域名注册后60天内无法转到腾讯云或者godaddy的。
网站ICP经营许可证
这玩意就必须是公司了,而且还要相应资质,门槛高,没有这玩意网站是无法进行支付交易的。
这个和什么公安备案的交互式又不同,你说公安备案我选了支付的交互呀?
它们职责根本不同,你公安备案通过了支付交互不代表你能这样做,它只是一个备案,反而如果你备案了,没有经营许可证网站还涉及交易,还能通过备案找到你是谁。
所以一般站长就会通过码支付或者易支付或者发卡网进行站点经营(详细自行百度吧)
网站运维
大厂的cdn和对象存储一般是带宽无限(你可以设置,但它可以做到无限),流量收费。而有的小厂代理什么的,有那种无限流量,带宽有限的付费,怕刷流量可以用这种,不过得搞个正规的备案了的服务商,不然有风险。
1-上cdn和对象存储oss/cos等。(记得设置限制和防刷)
存储oss/cos可以设置私用访问,只允许cdn来访问,那么存储流量就不会被刷,但是cdn就遭罪了,不过cdn流量比存储的便宜一点。
2-关闭境外访问,防海外ip的ddos。(注意要在dns层面或者机房层面就禁止,服务器禁止了,cdn没禁,流量费照样起飞)
3-网站备案,备案后有人攻击你,你报警,他得进去。
参考:https://blog.anheyu.com/posts/dfb3.html
为什么禁海外ip:
1-大宽度服务器一般是国外ip
2-国外ip抓不到不好查,而国内ipddos,即使是肉鸡,也能溯源查到攻击者的几率更大。
3-我们的站点也不需要让国外访问3-将所有图片资源压缩替换为webp(可以设置不支持webp的浏览器照样显示原jpg和png(也得压缩)),一般这个功能在oss和cdn中可以设置。
4-服务器和cdn,oss等都上防盗链。
5-一定要定时备份站点!!!防止误操作或者被黑了删数据!!!
6-上redis缓存等。
站点安全
什么设置修改后台访问端口和地址;后台用户名不要与前台一致;
设置后台登入次数等限制,即使找到后台入口也爆破不开;禁止国外ip访问(dns层面(直接国外ip访问,主机地址解析到127.0.0.1),防火墙层面);
修改ssh连接端口;防止ssh爆破;隐藏服务器信息,关闭不必要的端口;
https;及时更新系统(yum -y update)和环境;定期扫描木马,不用盗版插件与代码;
禁ping等(对象是服务器,你在宝塔(也可以腾讯云直接防火墙禁ping,有很多种方式,别禁了记不得去哪可以打开)把源服务器设置了禁ping,不代表cdn也禁ping,cdn是另外的服务器);
设置域名禁止转移;宝塔的安全软件全安排上(win系统可以用安全狗);
不需要的端口就关了(比如开了https,80端口就可以关了)
宝塔将网站敏感文件路径设置为加密访问;开启域名禁止转移;设置网站和数据库定时备份任务(记得还要定时下载到本地)等等这些都基操。
windows吃性能,而且没有Linux安全,虽然是可视化界面简单,不过一般选用Linux
渗透
1-网站没有太大的业务价值的时候,装一些waf(比如wp程序就搞个wordfence插件等),每天备份就行,被黑了大不了重装。
2-宝塔面板或者什么权限,全部开双重验证,如宝塔:设置指定地址和端口才能进管理后台,然后还得输入一次页面方法密码,然后输入面伴登录账户密码后,还得手机二次验证。
3-没用的端口全部关了。
4-网站有业务价值后,可以找专业人士渗透测试。
DDos攻击
所有的措施只是追求一个性价比的防御方式,但是惹到大佬了,肯定防不住,大型攻击只有上高防,不然腾讯云这些大厂的高防硬件服务早破产了。
tip:
1-下载一个最新的恶意ip,然后全部丢到防火墙里面拦截。
2-黑洞:就是机房检测到你的ip在被攻击,直接把你ip停了。
其实ddos流量是打到机房了,造成运营商堵塞,运营商把你ban了
通常这种是level4的ddos,也就是第四层传输层的攻击,通常为udp,tcp,syn等协议攻击
3-ddos就是资源换资源,沾满你的流量带宽(ddos),或者cpu和内存(CC)。
4-cdn所说的盾,就是用户一访问就跳一个滑块验证码等验证用户真实性,用来防cc的。
了解ddos,必须先学习通信协议,http,tcp,udp,dns,ip等等协议。
攻击方式:https://www.bilibili.com/video/BV1Ad4y11744
cc攻击:是web应用层层面的,打的http/https,一般是大量ip与服务器建立了真实连接,不断请求慢接口,让你服务器cpu内存和io等处理不过来,导致网站交互功能(用户登录注册,发评论等)瘫痪;需要用软件防火墙来防御。
cc攻击一般就是level7的ddos,也就是打了应用层。
解决:
最简单:
国内ip:找个好waf如宝塔服务器独立部署的waf;上带盾的cdn,被打就上5s盾;
本地服务器nginxwaf:https://github.com/ADD-SP/ngx_waf/
国外ip:解析到cloudflare的cdn上或者直接禁止国外ip;
cc因为需要真实的连接,所以需要真实的ip,而国内是没那么多肉鸡的,就算有价格也较高,所以禁止国外ip是很有效的防cc措施。当然也可以解析到cloudflare,也能有效防御。
1-设置并发限制。
2-统计每个ip的请求总时长,超过阈值直接拒绝连接。
3-拉黑ip
http洪水攻击
- HTTP请求:请求网站的页面或资源,是最常见的HTTP洪水攻击形式。
- POST请求:向服务器发送数据,例如填写表单。
- HEAD请求:请求网页的头部信息,不返回实际内容,消耗较少的网络带宽进行攻击。
- 其他类型的HTTP请求,如PUT、DELETE等,根据目标网站的特定功能和漏洞来选择
cdn可以帮源服务器过滤udp和tcp这些四层,但是过滤不住http洪水啊?他连源ip都没有就可以攻击我。
服务器防火墙,cdn防火墙,cdn人机验证盾,禁止国外ip等措施。
其实CC攻击就是伪造正常用户的请求,我们识别区分正常用户和攻击者,再把攻击者拦住或封禁即可,如cdn人机验证盾就是拦住攻击者;除了人机验证盾,单个ip再限制连接请求限制,超过某个阈值再进行人机验证或者直接封禁。
但是攻击者也会去打码,等一系列手段去通过人机验证,你换一种人机验证方式,他也可能更新绕过方法。
你设置限制请求,他就上更多的ip,模拟正常,更精准的慢速请求面向某个慢接口攻击。这就只能分布式和负载均衡什么的源服务器硬抗了,因为cdn也处理不了动态请求。
本质就是资金精力的比拼,但这种明显是有商业竞争行为的恶意攻击,攻击者本身付出的代价也很高。
面对平常攻击,禁国外ip,再使用cloudflare或一个厉害防御的cdn,配合自身防火墙防御(如只允许cdn的ip访问服务器)即可。
注意:
如果你采用国内用户走国内cdn,国外用户走cloudflare,服务器防火墙设置了仅cdn的ip可访问,但在cc攻击测试中,发现资源cpu和内存还是占满了;这不是cloudflare的错,只要你正确设置了规则,它是肯定能防住的。
资源沾满的原因,是你的国内cdn的防cc能力不行,也许你需要升级国内cdn上滑块验证码识别攻击者,才能达到免费cf的效果,但是有这种服务的cdn价格需要大几百一个月。
cloudflare的缺点就是:国内访问速度的问题,可以优选节点等操作,但是还是慢一点。
当你面临大攻击,但是考虑cf访问速度慢,国内的滑块cc防御又贵的情况下,就可以选择20刀一个月的cloudflare,他的防御能力比国内几百的滑块验证码等还强(这里只说了cc,其他防御能力更加强的不是一点半点),而且cloudflarepro可以进一步优化访问速度。
缺点2:这点无法避免,dns解析生效慢,一般情况下几个小时,有的地区需要24-72小时,而且cloudflare是泛播,当你服务器关机一次,可能会换了ip,那么国内访问者就会取不到正确dns,就会卡。(这不是cf的错,而是国内运营商缓存了dns,导致不取最新ip)
最佳:平时国内走国内cdn,国外走cloudflare,有人攻击了就立马直接禁止国外访问,然后站点全部套cloudflare。
ns接入和cname接入区别
ns接入是保护全站所有域名,cname接入一个是保护单个域名。每个子域名需要重新添加
还有接入cloudflare可以有更好的dns层面的ddos防护和解析优化(国内得花钱)
但是ns和cname都dns生效慢
刷量攻击
配合ngnix和防御脚本,带宽限制(如一个ip某个时间段最多多少流量)去防御,还有每次把攻击ip记录下来,上黑名单。(四层协议攻击上黑名单是没用的)
解决:
1-上cdn,打不到自己的源服务器。注意:这样的话,攻击者可以刷量攻击,cdn流量会让你破产,所以得设置cdn不缓存,请求回源,然后源服务器设置响应请求的一系列带宽限制,如:一小时内只能走多少流量,因为正常用户用缓存一般也没有影响。(也可以配cdn鉴权)
原理:因为cdn用的方案绝大都是nginx,只有http(s)协议能通过cdn到达源站,其他协议一律在cdn处过滤了。这样四层协议完全无法穿过cdn,什么udp 洪水,udp反射,icmp洪水,syn洪水(直接用假ip来请求,不建立真正的连接,但是通过tcp握手机制达到让我们服务器接收大量无用流量,这个其实本机配置下iptables就能防御)都没用。
cdn可以防ddos,因为带宽打在cdn身上;但cdn防不了cc攻击的,cc攻击如:它是发起请求,去让你的服务器操作数据库,但是cdn是没有数据库功能的,所以这个攻击是源服务器在抗,cdn的waf都是通过限制和过滤恶意请求等间接防御。
不要用不正规的cdn厂家服务,你不续费,他可能故意ddos你。
2-买有硬件防火墙的cdn和ip
ddos的udp洪水放大攻击:打的是带宽,UDP是一种无连接的协议,它不需要在发送和接收数据之前建立连接。这使得UDP攻击可以通过发送大量的UDP数据包,占用服务器的带宽,从而导致网络拥塞,影响正常的网络通信。
防止泄露源ip:
源IP泄露了,cdn就只有对正常用户起缓存加速和节省带宽作用了。起不到防御udp等ddos攻击的作用了,因为直接打你源ip就行了,流量不需要通过cdn了,随便几下就打死了。
教程:
https://blog.csdn.net/m0_65336233/article/details/127164933
https://blog.csdn.net/honest_run/article/details/126271477
https://blog.csdn.net/qq_45619909/article/details/128946800
https://www.bilibili.com/video/BV1MX4y177BU/
源ip已经泄露
解决方法:如果已被记录,可以更换源ip,开启c设置好dn后再解析更换后的源ip服务(否则可能换了又被立马记录)
注意:更换源ip不一定要换服务器,每台服务器一般是有更换公网ip名额的。如:腾讯云轻量级服务器实例,有一次免费更换ip的机会,去服务器控制台换就行。
1-网络工具查询:
一般这些网址是24h去扫全世界网站的端口和ip,然后进行记录,即使你套了cdn,你的源ip很有可能已经被记录在这些网站中。
解决方法:更换源ip
2-常规ping查询ip:https://www.itdog.cn/ping/www.elonmusk.cn
一般套了cdn后,ping不出源ip,但也有可能刚加cdn没陆续生效,还是有源ip存在。
解决方法:一样,换服务器ip然后套cdn
3-偏远地区访问;或硬刚cdn。
偏远地区访问服务:https://tools.ipip.net/cdn.php
原理:cdn无法覆盖的偏远地区对域名进行访问,一般就会真实ip提供服务,这样就泄露了源ip
原理:直接强行打死cdn(可能性较小),然后回源获取到真实ip。
解决方法:域名解析就根本不要设置源ip提供服务;联系cdn服务商设置cdn打死禁止回源;设置只允许cdn的ip访问源服务器。
4-邮箱地址查源IP
阿里企业邮箱申请不需要企业营业执照什么的,每个人都可以申请的。
教程:https://www.bilibili.com/read/cv11644429/
20r/1w封邮件,也就是0.002r一条邮件,多买更优惠。
相比于短信服务的平均0.035r/条,便宜了18倍。
原理:如果网站有发送邮箱的功能,那么接收邮箱者,可以查看邮箱原文,找到发送邮箱服务器的ip地址。
解决方法:腾讯和网易都是不隐藏域名源ip的,可以用阿里的企业邮箱帮助转发邮箱进行藏源ip;或者自己用另一台服务器转发邮件(不建议,麻烦要自己写配置等)
5-子域名或其他域名
原理:a.cn和b.cn都挂在源服务器101.1.1.1服务器上,a.cn加了cdn不会暴露源ip,但是b.cn没加cdn还是会暴露。攻击者找到了对应域名和ip间的联系,就会攻击你。
解决方法:把所有域名都加上cdn;或不要同服务器挂载多个域名;或域名间不相互联系,让攻击者无法判断联系
6-TLS证书
原理:https://www.bilibili.com/video/BV1Hu4y147wW/
教程:https://www.bilibili.com/video/BV1cy4y1K7cu/
证书生成站点:https://www.ssleye.com/
虽然是由ip获取域名,但是:
市面上很多工具爬虫24小时不停的抓取扫描IP,这类的工具网站通过无差别HTTP/HTTPS请求所有的IP,并将抓取到的IP地址所对应的网站记录到网站,以至于有些攻击者可以通过这类的网站可以直接查询到网站源站IP,因此在搭建网站的时候一定要做好屏蔽安全工作。
排查是否属于上述问题:通过https://你的源站IP:443,如果可以访问并且浏览器左上角锁的标志中显示了你的域名ssl证书,证书详情内有你的域名信息,那么攻击者就知道这个ip是你的此域名的源ip。
解决:
宝塔面板用户可添加一个随意的网站1.1.1.1(域名或者IP随意),然后删除宝塔创建网站默认生成的全部文件,然后为这个随意添加的网站配置一个无效的证书(本文下方会为大家提供一个无效的证书使用),配置好证书之后在宝塔面板后台:【网站】-【默认站点】中心选择刚才添加的这个随意的网站作为默认站点。
7-cdn部署后,有历史老资源遗留
- 用户请求:当用户访问一个使用CDN的网站时,他们首先会与距离最近的CDN边缘节点(Edge Server)建立连接,而不是直接连接到网站的源服务器。
- CDN处理:
- 静态内容:如果请求的是静态内容,而且这个内容已经被缓存在CDN节点上,CDN会直接返回这些内容给用户,无需访问源服务器,如果没有,那么cdn请求源站拿到资源,再转发给用户,用户也拿不到源站ip。
- 动态内容:对于动态内容的请求(例如用户提交的表单、实时数据更新等),CDN不能直接从缓存中提供内容。这时,CDN会根据配置将请求转发到源服务器。
- 源服务器处理:源服务器接收到请求后,处理动态内容生成(如数据库查询、页面渲染等),然后将生成的动态内容发送回CDN节点。
- CDN响应用户:CDN节点再将源服务器响应的动态内容转发给用户。在某些配置中,CDN也可能缓存这些动态内容的响应,依据特定的规则,如HTTP头部信息中的缓存控制指令。所以用户也拿不到源站IP
但是如果站点有一些资源没被cdn普及到,被攻击者发现了,那么这些资源的请求会直接请求源ip,就暴露了源ip。
解决方案
宝塔面板用户可添加一个随意的网站1.1.1.1(域名或者IP随意),然后删除宝塔创建网站默认生成的全部文件,然后为这个随意添加的网站配置一个无效的证书(本文下方会为大家提供一个无效的证书使用),配置好证书之后在宝塔面板后台:【网站】-【默认站点】中心选择刚才添加的这个随意的网站作为默认站点。
7-网站漏洞
原理:攻击者利用网站的漏洞让我们的服务器去攻击者黑客设置的资源,建立连接就暴露了IP
解决方法:这个看情况而定了,解决漏洞即可。
8-源服务器的遗留文件
防御总结:
1-源服务器,如果你是宝塔面板就把能开的优化策略和免费的安全插件都搞起。
2-然后找一个防御ddos和cc的安全脚本安装上,比如基于iptables一类的开源免费脚本,或者宝塔的付费waf(有一个是基于nginx的,有一个是独立服务器部署的waf)(不漏源ip的话,可以不用设置)(如果站点上了cdn,cdn服务商一般也会自带这些的,但是cdn的是cdn的,万一源ip暴露,源服务器的防御脚本也能起一定作用)
3-套个cdn就行了(抵御ddos的四层攻击,国内大厂计量cdn注意七层http刷量,如果是cf那种无限流量就不怕)
4-cc攻击的话,cdn一般会防,还有1,2也都会防。
5-不要泄露源ip
国内ip走值得信任的小厂cdn(大厂计量害怕被刷量攻击),国外IP走cf,万一国内小厂cdn被击落,立马也换cf,再被击落用付费cf。更换期间上静态维护页。
6-cdn禁止回源,还有设置服务器只允许cdn的ip访问,可以最大程度防止cdn被击穿导致源ip泄露
7-一般直接禁止国外访问,实在要访问,把攻击者肉鸡最多的国家禁止访问。
XSS和CSRF和SQL注入
XSS攻击主要是通过在公共站点中嵌入非法脚本,当其他用户访问这些页面时,这些脚本会被执行,从而影响用户的操作或窃取用户信息;CSRF攻击则是伪造用户的身份,向目标网站发送请求,这些请求通常与转账、发邮件、购物等操作相关
xss:https://www.bilibili.com/video/BV1Qd4y1k7K4
Cross Site Scripting跨站脚本攻击是恶意用户通过用户的输入框注入恶意脚本到服务器,让e正常用户收到服务器的恶意脚本并执行。(不叫css是因为避免和前端的css重复,就叫了xss)
Cross-site request forgery跨站点请求伪造是伪造用户请求,进行非法操作,比如qq邮箱如果被csrf,那么攻击者就可以冒充你删除你的邮件。
sql注入:https://www.bilibili.com/video/BV1ZR4y1Y745,通俗说:如登入账户,黑客在登入框内插入恶意sql字符,欺骗服务器执行sql,从而达到骗取账户密码和权限等操作。
这些玩意现在都是用框架组件开发的程序,一般很少有这种漏洞,就算有,随便启用一个防火墙也有过滤功能。
dns污染
这种是dns运营商的事情,我们管不着,出问题了我们找它们就行,腾讯云,阿里云什么的。
防护
一般现在用框架开发的程序都很少有这些漏洞,因为本身框架做了安全策略,还有配合waf防火墙,都可以进行有效防护。
sql防范:对用户的输入过滤等。
xss防范:对用户的输入(账户密码,评论等各种input框)做过滤,对输出做转义
csrf防范:使用token(因为有同源策略,其他站点拿不到另一个站点的token);避免get请求;使用验证码等,但是cookie也有同源策略,为什么又被利用了呢?token也会被xss等方式劫持呀?攻防永无尽之,这里只是了解
CDN的选择
按理来说节点ip越多,发布地区越广,加速效果越好;
但是ping一些大厂官网会发现他们的ip一般就4-6个,也不多呀?
因为他们的架构不像普通网站,而且他们的一个ip可能能顶你10个ip(也可能一个ip就是一整个机房),他们公司有专门的部署架构。
也可能会任播anycast。了解任播:https://www.bilibili.com/video/BV1894y1U7dz/
对于普通网站来说,还是选择节点多,分布广的CDN服务商较好,当然得实际测试(有的是质量不够数量来凑,也许20个ip的速度还没有10个的快),比如用站长之家去ping。
如果是面向国外用户,秒选免费的cloudflare就行了,通俗说:上了这个cdn,免费的ddos不可能打的死,如果对方买高价付费ddos,你直接买一个cf的付费服务,一样能抗住,而且他攻击的成本比你防御还高很多。
可以国内外用户ip分开部署cdn,国内的部署一个性价比高的厂商,国外就用cf
国内用户访问通过国内cdn,国外用户访问通过cloudflare方法:
1-将要防护的域名的ns交给cloudflare,这样可以全站防护,但是国内用户就无法再使用国内的cdn(因为国外的dns服务商没有多线路解析的功能),而国内用户访问cloudflare也会很慢。(所以不推荐)
2-使用国内多线路解析,国内用户还是国内的cdn,国外用户请求通过cname方式接入cloudflare的cdn(推荐),但是cloudflare的免费套餐,不支持cname接入。
解决办法:https://www.3520.net/free-cargo/2326.html
遇到问题(提示网站重定向多次,无法访问)解决方法:https://www.3520.net/server/2829.html,大概就是把cloudflare内的SSL/TLS改成“完全”(使用服务器自签证书)
cf配置参考:
多线路解析还可以分线路,比如电信,联通,移动,教育网,浏览器来源来分开解析,我们可以一个线路上一个国内cdn,原先是一个cdn抗,现在五六个cdn抗,自然防御力强很多。(平时默认开启一个cdn,遇到攻击了再开启多线路解析)
cloudflare优化后,国内访问速度其实还过得去,可以研究下优化和优选节点。
相比于国内高防cdn,cf特别良心了,速度优化还是不够用,可以升级cfpro,20美刀一个月,也比国内高防便宜,防御效果也好,速度pro又可以优化,基本上大差不差。
http刷量
上cdn就有一个坏处,流量得花钱,四层协议的攻击流量费算不到我们头上,但是http刷量攻击流量费就得算我们头上了。
解决:
1-cdn配置限速等配置,不过这些配置一般不够用,还是会被刷一部分钱。
2-直接把cdn的缓存功能关了,然后资源请求放回到本身的真实服务器ip处理,本身服务器再配合nginx和openresty 精细化限速;也就是说只用cdn抗四层攻击;但是这样cdn的缓存功能就没有了。
3-上cloudflare,根本不怕被刷。
4-被打一次及时拉黑ip
OSS存储桶
价格区间:2024.3一年1T的腾讯cos,首单优化我只花了120
1-如果计量付费,记得开启防刷(防盗链,仅cdn的ip可访问等)
注意事项
1-在修改东西之前一定要备份,要清楚的找到自己修改了什么,步骤都要日志记录。
2-nginx防火墙,各种插件防CC,防渗透插件等,cdn防火墙,这些功能的使用要清楚基本原理,否则互相冲突,正常访问都禁止了,你也不知道谁禁的,那就麻烦了。(比如要给cdn的ip加白名单,否则防火墙会拦截。)
比如网站加cdn后,源服务器只和cdn通信,那源服务器上的这些cc的waf其实没用了对吗?,因为其实源服务器是和14个cdn节点在通信,但是这14个节点都加上白名单,也不能限速。
不对,很明显源服务器虽然只和cdn通信,但是源服务器的cc防火墙也能拦截客户端ip(因为cdn会把客户端ip当作参数传给源服务器),兼容的防火墙就能通过参数再去防御(限速封禁ip等)。
3-cdn厂商一定要正规或值得信任,因为接入cdn解析,其实用户访问你域名获取的资源,cdn厂商是可以控制的。
被攻击紧急措施
1-如果遇到长时间的ddos,且自己无法解决,为了防止百度等搜索引擎降低seo权重和k站,可以在百度平台提交闭站保护。
2-创建一个静态页面挂载在github或者gitee或者vercel上,让用户有起码的页面显示,(一般有月流量限制),ddos最多刷量,但是刷一个换个号继续部署就行。
3-全站接入cf,禁止国外访问,源站只允许cdn访问,如果需要国内高速访问就接入国内带有滑块验证的cdn。
这还能被打死,肯定是付费攻击,站点没价值就上个cf硬抗,卡就卡吧。如果站点有价值,就上更好的cdn,不停的变换人机验证方式。
4-如果源站泄露,找到泄露点修复,再更换源ip
短信防刷
1-在服务商控制台或者本身程序前后端,限制IP和设备和手机号码上限,这些都是基本操作,应该只是增加攻击成本,对大佬来说基本上没啥用,实现自动刷只是时间问题。(有总比没有好,起码增加了攻击成本和门槛)
2-最后的关键点在于使用一个无法自动识别通过的人机识别交互,比如滑块识别验证码等。
传统的验证码识别,现在有打码技术,所以需要选用最新的人机交互识别。只要攻击者必须人工识别验证码,无法自动化攻击,那么他也就不会攻击了,因为他的人工成本比我们还高。
站点优化
1-视频统一无损压缩一次,大视频单独进行m3u8切片处理。
小视频没必要进行m3u8切片处理,因为mp4本身也有类似切片的功能,一段1min的视频,大概会切成5份,每份20s,也够用了;进行切片分成如100份,反而画蛇添足。
2-图片输出为webp
