很多互联网企业的服务器在接入高防cdn后,仍然不能防ddos攻击,将服务器打入“黑洞”,但高防后台却又看不到攻击流量数据,这说明攻击绕过高防cdn直接攻击了源服务器ip,说明源ip地址可能已经暴露。因为很多互联网企业在接入高防前就被攻击过,被抓取到了源ip,这时虽然接入高防可以隐藏源ip,但攻击者直接攻击之前抓取到的源ip,这个时候就必需更换源站服务器的ip地址了。
源ip暴露
一、首先排查源ip暴露的原因
建议在更换源站服务器的ip地址前,首先要排查源ip暴露的原因,确认好已经消除了所有可能暴露源站ip的因素,避免源站ip更换后再次暴露。可以从以下方面进行排查:
1.源站服务器上是否存在木马、后门等安全隐患。
2.源站服务器上是否存在没有配置高防cdn的其他服务,例如邮件服务器的MX记录、BBS记录等除Web记录以外的记录。
3.检查网站域名的DNS解析记录,确认没有任何记录直接解析到源站服务器的ip地址。
4.是否存在网站源码信息泄露。例如phpinfo()指令中可能包含的ip地址等泄露。
5.是否存在恶意扫描。可以在配置高防cdn后设置源站保护,在源站服务器上只放行高防cdn回源ip的入方向流量。
更换源ip
二、更换源站ip
确认已消除所有可能暴露源站ip的因素后,可以更换源站服务器的ip地址。更换源ip可能会使业务暂时中断几分钟,建议在操作前先备份好数据。不同服务器运营商操作方式可能有所区别,但总体差别不大,这里以阿里云为例,具体操作步骤如下:
1.登录服务器管理控制台。
2.前往接入>网站页面,单击更换ECS ip。
3.更换ip需要将ECS停机,在管理控制台实例列表中找到目标ECS实例,单击其实例ID,在实例详情页,单击停止。
4.返回更换ECS ip对话框,输入ECS实例ID,并单击下一步。
5.确认当前ECS实例信息准确无误(尤其是ECS ip)后,选择更换ip后是否立刻重启ECS,并单击释放ip。
6.成功释放原ip后,单击下一步,为该ECS实例重新分配ip。
7.ECS ip更换成功,单击确认,完成操作。
负载均衡
如果不想更换源站ip或已经更换过源站ip但是仍存在ip暴露的情况,也可以通过在后端ECS服务器前部署一台负载均衡SLB服务器,使用以下网络架构:客户端->高防cdn->SLB->ECS。采用这种架构后,即使攻击者直接攻击源站,导致源站ip被黑洞,通过高防cdn访问服务器依然不受影响。因为负载均衡服务器到源站的访问流量通过内网传输,即使源站ip被黑洞,高防cdn实例的ip仍然可以通过负载均衡服务器访问源站。