前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何防止CDN防护被绕过

如何防止CDN防护被绕过

作者头像
Bypass
发布2020-03-13 01:40:08
1.9K0
发布2020-03-13 01:40:08
举报
文章被收录于专栏:Bypass

当发现目标站点存在CDN防护的时候,我们会尝试通过查找站点的真实IP,从而绕过CDN防护。

我们来看一个比较常见的基于公有云的高可用架构,即:

域名-->CDN,CDN-->WAF,WAF-->SLB,SLB-->ECS。

我们重点来关注一下CDN-->WAF-->SLB-->ECS这几层服务之间的关系吧。

假设,攻击者知道SLB的真实IP地址,就可以直接访问SLB的ip地址,从而轻易绕过CDN+WAF的安全防护。

如何防止CDN被绕过呢?

这里分享一个CDN防护技巧,通过中间件配置只允许域名访问,禁止ip访问。

这样处理的话,所有直接访问站点真实IP的请求将会被拒绝,任何用户只能通过域名访问站点,通过预先设定的网络链路,从DNS→CDN→waf防护→源站,所有的域名访问请求都必须经过WAF检测。

Nginx参考配置:

代码语言:javascript
复制
#添加一个server,在原server里绑定域名server  {        listen 80 default;        server_name _;        return 403;    }server {        listen       80;        server_name  www.demo.com;        .........

Apache参考配置:

  • =#在httpd.conf最后面加上 <VirtualHost 此处填写IP> ServerName 此处填写IP <Location /> Order Allow,Deny Deny from all </Location></VirtualHost> <VirtualHost 此处填写IP> DocumentRoot /var/www/html ServerName 此处填写域名</VirtualHost>

我们再来思考一个问题?

如果攻击者有了真实IP地址,修改本地hosts文件,强行将域名与IP解析,从而本地访问请求是无需经过DNS解析,还是可以绕过CDN防护。

这个策略,本质上是一个减缓措施,增加了寻找真实IP的难度。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-03-09,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Bypass 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
内容分发网络 CDN
内容分发网络(Content Delivery Network,CDN)通过将站点内容发布至遍布全球的海量加速节点,使其用户可就近获取所需内容,避免因网络拥堵、跨运营商、跨地域、跨境等因素带来的网络不稳定、访问延迟高等问题,有效提升下载速度、降低响应时间,提供流畅的用户体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档