前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【技术分享】防止根据IP查域名,防止源站IP泄露

【技术分享】防止根据IP查域名,防止源站IP泄露

作者头像
鸣奔博客
发布2023-03-23 09:33:16
3.9K0
发布2023-03-23 09:33:16
举报
文章被收录于专栏:网络百科网络百科

有的人设置了禁止IP访问网站,但是别人用https://ip的形式,会跳到你服务器所绑定的一个域名网站上

直接通过https://IP,访问网站,会出现“您的连接不是私密连接”,然后点高级,会出现“继续前往IP”,然后点击后会跳到你服务器上的一个域名网站!

图片[1]-【技术分享】防止根据IP查域名,防止源站IP泄露-鸣奔博客
图片[1]-【技术分享】防止根据IP查域名,防止源站IP泄露-鸣奔博客
图片[2]-【技术分享】防止根据IP查域名,防止源站IP泄露-鸣奔博客
图片[2]-【技术分享】防止根据IP查域名,防止源站IP泄露-鸣奔博客

为了防止上面这种情况,所以继续看:

新建站点

网站——添加站点——域名随便写一个不存在的,如:ha.haha——PHP版本:纯静态,配置里添加 return 444;

图片[3]-【技术分享】防止根据IP查域名,防止源站IP泄露-鸣奔博客
图片[3]-【技术分享】防止根据IP查域名,防止源站IP泄露-鸣奔博客

设置默认站点

默认站点设置为上面所建的一个假域名网站ha.haha

禁止IP访问网站

就是上面新建站点时的 return 444; 设置,一定要设置。 禁止IP访问网站,防止服务器被恶意解析

进阶方法

ClientHello 中是带着 SNI 的,所以其实握手阶段是可以知道访问的域名是否合法的,NGINX 1.19.4 中添加了一个新的配置项 ssl_reject_handshake 用于拒绝握手,也就不会提供证书。

使用方法也很简单,将原本默认配置中的 return 444 替换成 ssl_reject_handshake on 即可。

代码语言:javascript
复制
server {
    listen 443 default_server;
    server_name _;
    include conf.d/ssl.config;
    
    # 不用返回 444 了,直接拒绝握手
    ssl_reject_handshake on;
    # return 444;
}

配置后,再尝试 IP 访问,会发现浏览器报了 ERR_SSL_UNRECOGNIZED_NAME_ALERT 的错误,也看不到证书信息。

套用假证书

通过自签名证书,自签一个假的证书(假域名,假信息),然后套在上面假的域名网站上。 创建自签名SSL证书

到此完成。

图片[4]-【技术分享】防止根据IP查域名,防止源站IP泄露-鸣奔博客
图片[4]-【技术分享】防止根据IP查域名,防止源站IP泄露-鸣奔博客

此时通过https://IP,访问网站,会出现“您的连接不是私密连接”,然后点高级,会出现“继续前往IP”,然后会出现“ERR_HTTP2_PROTOCOL_ERROR”错误,无法访问此网站提示!

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 直接通过https://IP,访问网站,会出现“您的连接不是私密连接”,然后点高级,会出现“继续前往IP”,然后点击后会跳到你服务器上的一个域名网站!
    • 新建站点
      • 设置默认站点
        • 禁止IP访问网站
          • 进阶方法
            • 套用假证书
            相关产品与服务
            SSL 证书
            腾讯云 SSL 证书(SSL Certificates)为您提供 SSL 证书的申请、管理、部署等服务,为您提供一站式 HTTPS 解决方案。
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档