正确配置源站ECS的安全组和SLB的白名单,可以防止黑客直接攻击您的源站IP。本文介绍了源站服务器保护的相关配置方法。 背景信息 说明 源站保护不是必须的。 没有配置源站保护不会影响正常业务转发,但可能导致攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。 如何确认源站泄露? 如果可以连通,表示源站存在泄露风险,一旦黑客获取到源站公网IP就可以绕过WAF直接访问;如果无法连通,则表示当前不存在源站泄露风险。 这种情况下,如果源站已配置安全组防护,则可能会导致源站无法从公网访问。 当Web应用防火墙集群扩容新的回源网段时,如果源站已配置安全组防护,可能会导致频繁出现5xx错误。 后续步骤 源站保护配置完成后,您可以通过测试已接入WAF防护的源站IP80端口和8080端口是否能成功建立连接验证配置是否生效。
sync.Pool 本质是用来保存和复用临时对象,以减少内存分配,降低 GC 压力,比如需要使用一个对象,就去 Pool 里面拿,如果拿不到就分配一份,这比起不停生成新的对象,用完了再等待 GC 回收要高效的多
个人网站、项目部署、开发环境、游戏服务器、图床、渲染训练等免费搭建教程,多款云服务器20元起。
Docker CE 镜像源站 hyzhou 2017-06-26 15:28:15 浏览100094 评论27 docker 安装 engine docker-ce 摘要: Docker CE 镜像源站 Docker CE 镜像源站 使用官方安装脚本自动安装 (仅适用于公网环境) curl -fsSL https://get.docker.com | bash -s docker --mirror curl -fsSL http://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add - # Step 3: 写入软件源信息 ,您可以通过编辑软件源的方式获取各个版本的软件包。 例如官方并没有将测试版本的软件源置为可用,你可以通过以下方式开启。同理可以开启各种测试版本等。
一、源站基本需求 1. 基本功能:支持推流/转推/拉流。 2. 使用源站的用户推流,将不会去control鉴权。也就是任何流,只要拿到我们的域名都可以推流成功。 2. 推流成功后,查询live_adaptor,live_adaptor将根据域名来决定转推目的地。 为了防止把源站压垮,将会对访问的ip进行连接数的限制,每台机器最多允许连接3条。 三、主备流自动切换的实现 下面主要介绍我设计的方案 现场赛事方推流到主,接入转推时,会带上自己的ip。
这给了我额外的压力。我不喜欢压力。但是与其简单地忽略它,我决定以健康的态度去管理和处理压力,下面是我怎么做的方法: ? 通过限制什么时候在项目工作,我减少压力的量。任何外来者的无理期望都是被这个规则简单处理掉的。 (2)休息 休息很重要。当你在一个项目上工作时,更是如此。 我写项目文档,来减少问题的数量和支持的要求。这一课是多年前学的。没有写文档的代码意味着其他开发者会在工作期间打扰我问我,我认为是愚蠢的问题。原来他们不是愚蠢的问题。 但这不是巧合,该项目的成功是从一开始就定义为:如果我能减少我为客户在网站上工作的时间,这个项目将是成功的。成功不是建立在一些虚荣的基础上,就像它变得多么受欢迎一样。它是基于它对我日常生活的影响。
本文出处:老蒋部落 » 禁止WordPress程序WP-Cron减少服务器负载压力 | 欢迎分享
CDN源站地址踩坑 为什么官方推荐域名作为源站地址呢,我个人理解是考虑像nginx负载均衡一样的,一个域名下有多个实例ip,每次轮询,但配置CND后,电信用户访问时会优先去电信运营商那个ip。 但我自己博客只是个单实例,所以源站地址是ip好点,少了从域名解析到ip这一步。 下面放出我在阿里云社区和腾讯云社区看到的帖子 引自腾讯云社区: 源站类型:自有源 源站地址:source.yeruchimei.top:8080 源站地址填写为域名最大的好处是,当你的源站拥有多个运营商的 注意:如果源站地址填写为域名时,此域名的作用仅仅是用于DNS解析,例如source.yeruchimei.top对应的A记录为100.100.100.100,那最终源站地址则是100.100.100.100 建议:能选择源站地址为域名最好是选择为域名。 引自阿里云社区: ReCDN加速源站域名怎么填哦?
JavaScript如何减少重绘和回流 方法说明 1、用transform代替top。 2、用visibility换display。 none,前者只引起重绘,后者引起回流。 var body = document.getElementsByTagName('body')[0] var h = body.offsetHeight; } 以上就是JavaScript减少重绘和回流的方法
站在站长的角度,不可能每个站都会用上CDN。 站在DNS服务商的角度,历史解析记录可能不受CDN服务商控制。 站在CDN服务商的角度,提供CDN服务的区域有限制,CDN流量有限制。 https://asm.ca.com/en/ping.php 从目标服务器入手 被动获取 让目标服务器主动链接我们的服务器,获取来源IP SSRF Mail 服务器信息 探针文件 服务器日志文件 错误信息 旁站 查找子域名或者父域名对应IP 查非子域名旁站 通过搜索引擎查找公网上的相同站点(开发环境,备份站点等) MX、TXT记录 对比全网banner 获取目标站点的banner,在全网搜索引擎搜索,也可以使用 可以通过互联网络信息中心的IP数据,筛选目标地区IP,遍历Web服务的banner用来对比CDN站的banner,可以确定源IP。 拉美:ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest CDN服务商 入侵CDN服务商 根据CDN解析特性获取源IP
不少的cdn或者源站,都是多层的,层级之前的数据传输大部分都是采用外网的。为了降低内部数据传输的损耗,在没有观众观看的情况下,边缘和中间层都会停止拉流,只有在中心节点有直播流数据。 当有观众过来观看,会逐级向上回源。每一层级都会重新创建新的回源连接。tcp连接建立阶段至少是1+RTT,多级建立连接,累计起来,耗费的时间会比较客观。 解决方案 为了减少回源耗时,建议在tcp连接建立的时候,开启tcp fastopen。 下图是正常连接建立,以及发起http get的请求。 所以,之后发起 HTTP GET 请求的时候,可以绕过三次握手,这就减少了握手带来的 1 个 RTT 的时间消耗。 优化效果 按照3层回源来,服务器之间的RTT约为20ms,冷流的场景下,可以减少约40ms延迟。服务器集群一般都是跨地域的,优化效果会更明显一些。
前言 我们上一篇文章中聊到了SMTP会泄露源站ip的问题,那么我们今天再来说一个泄露源站IP的点。那就是: SSL 检查 我们前往站点 Censys 检查一下自己的ip是不是被他扫了出来? 至此,ssl证书泄露源站ip的风险也解除了。
但是,建站容易,守站难。现在的网络环境并不是很好,cc攻击、DDoS、xxs渗透....随处可见,可能你刚刚建好的站,没过几分钟就被扫端口了,没过几分钟cc攻击立马就开始。 所以很多站长套起了cdn,比起cdn提供的加速效果,更多的站长可能还是为了保护那可怜弱小的源站ip不被发现然后攻击。 那么,怎么知道你的源站ip呢? 然后当我们看到这个页面的时候,那就说明找到了你的源站ip。因为我们使用https,所以可以查看我们的证书。 然后那些cc以及ddos大牛们会以迅雷不及掩耳之势展开他们的攻势,那么如何防止别人利用ssl证书来获取你的源站ip呢。 结尾 这样就可以避免别人利用sll证书来确认是否为你的源站ip。那这样源站ip就安全了吗?当然不可能,还有很多的技巧或者工具来获取你的源站ip。
第11章 UDP:用户数据报协议 11.11 ICMP源站抑制差错 我们同样也可以使用 U D P产生I C M P“源站抑制(source quench)”差错。 即使一个系统已经没有缓存并丢弃数据报,也不要求它一定要发送源站抑制报文。 图11 - 1 8给出了I C M P源站抑制差错报文的格式。有一个很好的方案可以在我们的测试网络里产生该差错报文。 由于源站抑制要消耗网络带宽,且对于拥塞来说是 一种无效而不公平的调整,因此现在人们对于源站抑制差错的态度是不支持的。 结果是如果采用 U D P协议,那么B S D实现通常忽略其接收到的源站抑制报文(正如我们在 2 1 . 1 0节所讨论的那样, T C P接受源站抑制差错报文,并将放慢在该连接上的数据传输速度)。 其部分原因在于,在接收到源站抑制差错报文时,导致源站抑制的进程可能已经中止了。
有的时候,我们套CDN是为了保护相对较为脆弱的源站,在CDN上平台上实现对DDoS、CC之类攻击的防护;所以相应的,我们也不希望它被泄露出去,一旦攻击者绕过CDN直接攻击源站,我们在CDN上构建的防御措施便成了摆设 https://censys.io/ipv4 不知道你们的结果如何,我身边的朋友是有几个中招的了…… 想要不被他看穿也很简单,总而言之就一句话:减少默认证书携带的信息。 /create_test_cert.html MkCert:https://github.com/FiloSottile/mkcert 经过对这些的思考之后,我觉得还是签发一个有效的IP证书对于隐藏源站最有效 四、结语 解决这种泄露源站的问题还有几种其他的方案,比如只监听并以IPv6为源站、只允许CDN段访问你的服务器等,这都是绝佳的解决方案。
如果一个路由器发现源路由所指定的下一个路由器不在其直接连接的网络上,那么它就返回一个“源站路由失败”的I C M P差错报文。 • 宽松的源站选路。 Tr a c e r o u t e程序提供了一个查看源站选路的方法,我们可以在选项中指明源站路由,然后检查其运行情况。 对于本章中所给出的例子,作者将这些补丁安装上去,并将它们设置成允许宽松的源站选路和严格的源站选路。 图8 - 6给出了源站路由选项的格式。 ? 源站路由选项的实际称呼为“源站及记录路由”(对于宽松的源站选路和严格的源站选路,分别用L S R R和S S R R表示),这是因为在数据报沿路由发送过程中,对I P地址清单进行了更新。 如果T C P服务器下面接收到一个不同的源站选路,那么新的源站路由将取代旧的源站路 由。
冷热文件分区,或者多源站模式均适用。
本文提供一个功能较为齐全的源站可用性测试工具,用来快速检测源站资源不一致的问题。 /CDNSourceTest.git 工具介绍 sourcetest.sh 为shell测试脚本,能够针对多个源站发起指定次数的HTTP或HTTPS请求,来检测多源站可用性。 net.ip 文件需要保存源站IP信息,一行一个IP即可。 如果是http请求,只需要指定源站的监听端口就可以进行测试,测试结束后会打印相关的测试结果信息。 image.png 如果测试有非200的状态码,会打印异常源站。 image.png 和HTTP请求一样,如果测试有非200的状态码,会打印异常源站。如果没有会提出源站正常。 希望通过该工具能工简化多源站一致性的方法,如果有任何想法,欢迎私信。
案例背景: cdn节点测试访问异常,出现空响应,直接访问源站正常,这里看起来像是节点出现异常。 问题描述: 通过cdn节点访问出现rst,绑定源站访问正常。 image.png 4.绑定复现节点测试,在源站抓回源包流,抓包命令: tcpdump -n host 回源节点ip -w . /target.cap image.png 可以看到在节点与源站建联成功之后,源站发rst导致回源失败,从而cdn节点访问失败。 解决方案: 可以通过接口拿到cdn侧回源层ip,检查下源站是否对这些回源层ip有封堵。 document/product/228/41954 使用API Explorer在线调用: image.png image.png 总结: 这里遇到有访问失败的问题,也可以检查下源站是否有限制或者
原因 其实不止腾讯企业邮,市面上大部分的smtp服务都会泄露源站ip,比如gmail,outlook等。 如图所示,这样子的email头文件会泄露源站IP。 以上配置完成后,重启Haproxy并设置为开机启动 service haproxy restart 然后登录我们源站服务器,进入终端。 比如我用的腾讯企业邮,代理服务器是我北京的轻量服务器iP 81.70.242.22那么hsots内容为 81.70.242.22 smtp.exmail.qq.com 这样我们就能成功解决SMTP发信服务器源站
腾讯云 Web 应用防火墙(WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵等网站及 Web 业务安全防护问题。企业组织将 Web 攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯 Web 业务防护能力,为组织网站及 Web 业务安全运营保驾护航……
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
云数据库 SQL Server
网站备案
文件存储
SSL 证书
