学习
实践
活动
专区
工具
TVP
写文章

保护

正确配置ECS的安全组和SLB的白名单,可以防止黑客直接攻击您的IP。本文介绍了服务器保护的相关配置方法。 背景信息 说明 保护不是必须的。 没有配置保护不会影响正常业务转发,但可能导致攻击者在IP暴露的情况下,绕过Web应用防火墙直接攻击您的。 如何确认泄露? 如果可以连通,表示存在泄露风险,一旦黑客获取到公网IP就可以绕过WAF直接访问;如果无法连通,则表示当前不存在泄露风险。 这种情况下,如果已配置安全组防护,则可能会导致无法从公网访问。 当Web应用防火墙集群扩容新的回网段时,如果已配置安全组防护,可能会导致频繁出现5xx错误。 后续步骤 保护配置完成后,您可以通过测试已接入WAF防护的IP80端口和8080端口是否能成功建立连接验证配置是否生效。

23810
  • 广告
    关闭

    热门业务场景教学

    个人网站、项目部署、开发环境、游戏服务器、图床、渲染训练等免费搭建教程,多款云服务器20元起。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    保持开源项目健康运行并减少压力的 10 件事

    这给了我额外的压力。我不喜欢压力。但是与其简单地忽略它,我决定以健康的态度去管理和处理压力,下面是我怎么做的方法: ? 通过限制什么时候在项目工作,我减少压力的量。任何外来者的无理期望都是被这个规则简单处理掉的。 (2)休息 休息很重要。当你在一个项目上工作时,更是如此。 我写项目文档,来减少问题的数量和支持的要求。这一课是多年前学的。没有写文档的代码意味着其他开发者会在工作期间打扰我问我,我认为是愚蠢的问题。原来他们不是愚蠢的问题。 但这不是巧合,该项目的成功是从一开始就定义为:如果我能减少我为客户在网站上工作的时间,这个项目将是成功的。成功不是建立在一些虚荣的基础上,就像它变得多么受欢迎一样。它是基于它对我日常生活的影响。

    25020

    CDN地址踩坑

    CDN地址踩坑 为什么官方推荐域名作为地址呢,我个人理解是考虑像nginx负载均衡一样的,一个域名下有多个实例ip,每次轮询,但配置CND后,电信用户访问时会优先去电信运营商那个ip。 但我自己博客只是个单实例,所以地址是ip好点,少了从域名解析到ip这一步。 下面放出我在阿里云社区和腾讯云社区看到的帖子 引自腾讯云社区: 类型:自有源 地址:source.yeruchimei.top:8080 地址填写为域名最大的好处是,当你的拥有多个运营商的 注意:如果地址填写为域名时,此域名的作用仅仅是用于DNS解析,例如source.yeruchimei.top对应的A记录为100.100.100.100,那最终地址则是100.100.100.100 建议:能选择地址为域名最好是选择为域名。 引自阿里云社区: ReCDN加速域名怎么填哦?

    18210

    绕过CDN找到的思路

    站在站长的角度,不可能每个都会用上CDN。 站在DNS服务商的角度,历史解析记录可能不受CDN服务商控制。 站在CDN服务商的角度,提供CDN服务的区域有限制,CDN流量有限制。 https://asm.ca.com/en/ping.php 从目标服务器入手 被动获取 让目标服务器主动链接我们的服务器,获取来源IP SSRF Mail 服务器信息 探针文件 服务器日志文件 错误信息 旁 查找子域名或者父域名对应IP 查非子域名旁 通过搜索引擎查找公网上的相同站点(开发环境,备份站点等) MX、TXT记录 对比全网banner 获取目标站点的banner,在全网搜索引擎搜索,也可以使用 可以通过互联网络信息中心的IP数据,筛选目标地区IP,遍历Web服务的banner用来对比CDN的banner,可以确定IP。 拉美:ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest CDN服务商 入侵CDN服务商 根据CDN解析特性获取IP

    88550

    服务器内部采用tcp fastopen快速回

    不少的cdn或者,都是多层的,层级之前的数据传输大部分都是采用外网的。为了降低内部数据传输的损耗,在没有观众观看的情况下,边缘和中间层都会停止拉流,只有在中心节点有直播流数据。 当有观众过来观看,会逐级向上回。每一层级都会重新创建新的回连接。tcp连接建立阶段至少是1+RTT,多级建立连接,累计起来,耗费的时间会比较客观。 解决方案 为了减少耗时,建议在tcp连接建立的时候,开启tcp fastopen。 下图是正常连接建立,以及发起http get的请求。 所以,之后发起 HTTP GET 请求的时候,可以绕过三次握手,这就减少了握手带来的 1 个 RTT 的时间消耗。 优化效果 按照3层回来,服务器之间的RTT约为20ms,冷流的场景下,可以减少约40ms延迟。服务器集群一般都是跨地域的,优化效果会更明显一些。

    30420

    防止利用sll证书泄露ip

    但是,建站容易,守难。现在的网络环境并不是很好,cc攻击、DDoS、xxs渗透....随处可见,可能你刚刚建好的,没过几分钟就被扫端口了,没过几分钟cc攻击立马就开始。 所以很多站长套起了cdn,比起cdn提供的加速效果,更多的站长可能还是为了保护那可怜弱小的ip不被发现然后攻击。 那么,怎么知道你的ip呢? 然后当我们看到这个页面的时候,那就说明找到了你的ip。因为我们使用https,所以可以查看我们的证书。 然后那些cc以及ddos大牛们会以迅雷不及掩耳之势展开他们的攻势,那么如何防止别人利用ssl证书来获取你的ip呢。 结尾 这样就可以避免别人利用sll证书来确认是否为你的ip。那这样ip就安全了吗?当然不可能,还有很多的技巧或者工具来获取你的ip。

    54230

    速读原著-TCPIP(ICMP抑制差错)

    第11章 UDP:用户数据报协议 11.11 ICMP抑制差错 我们同样也可以使用 U D P产生I C M P“抑制(source quench)”差错。 即使一个系统已经没有缓存并丢弃数据报,也不要求它一定要发送抑制报文。 图11 - 1 8给出了I C M P抑制差错报文的格式。有一个很好的方案可以在我们的测试网络里产生该差错报文。 由于抑制要消耗网络带宽,且对于拥塞来说是 一种无效而不公平的调整,因此现在人们对于抑制差错的态度是不支持的。 结果是如果采用 U D P协议,那么B S D实现通常忽略其接收到的抑制报文(正如我们在 2 1 . 1 0节所讨论的那样, T C P接受抑制差错报文,并将放慢在该连接上的数据传输速度)。 其部分原因在于,在接收到抑制差错报文时,导致抑制的进程可能已经中止了。

    56420

    防止SSL证书泄露你的IP

    有的时候,我们套CDN是为了保护相对较为脆弱的,在CDN上平台上实现对DDoS、CC之类攻击的防护;所以相应的,我们也不希望它被泄露出去,一旦攻击者绕过CDN直接攻击,我们在CDN上构建的防御措施便成了摆设 https://censys.io/ipv4 不知道你们的结果如何,我身边的朋友是有几个中招的了…… 想要不被他看穿也很简单,总而言之就一句话:减少默认证书携带的信息。 /create_test_cert.html MkCert:https://github.com/FiloSottile/mkcert 经过对这些的思考之后,我觉得还是签发一个有效的IP证书对于隐藏最有效 四、结语 解决这种泄露的问题还有几种其他的方案,比如只监听并以IPv6为、只允许CDN段访问你的服务器等,这都是绝佳的解决方案。

    77340

    速读原著-TCPIP(IP选路选项)

    如果一个路由器发现路由所指定的下一个路由器不在其直接连接的网络上,那么它就返回一个“路由失败”的I C M P差错报文。 • 宽松的选路。 Tr a c e r o u t e程序提供了一个查看选路的方法,我们可以在选项中指明路由,然后检查其运行情况。 对于本章中所给出的例子,作者将这些补丁安装上去,并将它们设置成允许宽松的选路和严格的选路。 图8 - 6给出了路由选项的格式。 ? 路由选项的实际称呼为“及记录路由”(对于宽松的选路和严格的选路,分别用L S R R和S S R R表示),这是因为在数据报沿路由发送过程中,对I P地址清单进行了更新。 如果T C P服务器下面接收到一个不同的选路,那么新的路由将取代旧的路 由。

    70910

    CDN可用性测试工具

    本文提供一个功能较为齐全的可用性测试工具,用来快速检测资源不一致的问题。 /CDNSourceTest.git 工具介绍 sourcetest.sh 为shell测试脚本,能够针对多个发起指定次数的HTTP或HTTPS请求,来检测多可用性。 net.ip 文件需要保存IP信息,一行一个IP即可。 如果是http请求,只需要指定的监听端口就可以进行测试,测试结束后会打印相关的测试结果信息。 image.png 如果测试有非200的状态码,会打印异常。 image.png 和HTTP请求一样,如果测试有非200的状态码,会打印异常。如果没有会提出正常。 希望通过该工具能工简化多一致性的方法,如果有任何想法,欢迎私信。

    3.9K272

    cdn节点访问失败,测试正常,节点异常?

    案例背景: cdn节点测试访问异常,出现空响应,直接访问正常,这里看起来像是节点出现异常。 问题描述: 通过cdn节点访问出现rst,绑定访问正常。 image.png 4.绑定复现节点测试,在抓回包流,抓包命令: tcpdump -n host 回节点ip -w . /target.cap image.png 可以看到在节点与建联成功之后,发rst导致回失败,从而cdn节点访问失败。 解决方案: 可以通过接口拿到cdn侧回层ip,检查下是否对这些回层ip有封堵。 document/product/228/41954 使用API Explorer在线调用: image.png image.png 总结: 这里遇到有访问失败的问题,也可以检查下是否有限制或者

    1.3K80

    关注

    腾讯云开发者公众号
    10元无门槛代金券
    洞察腾讯核心技术
    剖析业界实践案例
    腾讯云开发者公众号二维码

    相关产品

    • Web 应用防火墙

      Web 应用防火墙

      腾讯云 Web 应用防火墙(WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵等网站及 Web 业务安全防护问题。企业组织将 Web 攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯 Web 业务防护能力,为组织网站及 Web 业务安全运营保驾护航……

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券