kangle如何禁用https的ip地址访问,存在CDN背后源站真实ip泄露导致引起ddos安全隐患
kangle如何禁用https的ip地址访问,存在CDN背后源站真实ip泄露导致引起ddos安全隐患例如在 https://search.censys.io/ 中可以得到真实源站ip地址信息
新购买的服务器,被censys全网扫描https ip,都有使用CDN保护不存在泄露ip情况,但是基本隔一天在去查询,censys就会轻松把真实ip和域名关联起来,因为对方会全网扫描世界上所有的ip地址。
完美效果
https://104.18.31.69/
和cf cdn一样,输出ERR_SSL_VERSION_OR_CIPHER_MISMATCH 信息,此时不会响应给浏览器任何证书信息,在交互证书之前就阻断了访问
同时如果请求头包含使用不同的host,也不应当输出其它域名的证书信息,希望做个请求控制模块加强一下
例子模块两个选项,加一个复选框
默认允许自签名等任意域名响应https 不允许跨https站点访问,强制要求校验和证书域名一致性 复选框不允许https直接访问ip
这个问题很早以前就提过,希望能解决下,因为今天看到有人发了视频把这种ddos攻击方法曝光出来了
https://www.bilibili.com/video/av951981641
早几年能想到的办法就和up一样,在ep里创建个站点空间,域名绑定处填写ip地址绑定,然后设置一个自定义证书,弄个错误的证书上去
页:
[1]