数据流向 之前的数据流量如下: 用户 -> 域名 -> DNS -> 腾讯云主机外网IP -> 腾讯云主机内网IP -> Docker SDN端口映射(443指向docker的443, 80之下那个docker 的80) -> Docker的NGINX容器的 80和443端口 现在加了一层CDN, 如下: 用户 -> 域名 -> CDN -> DNS -> 腾讯云主机外网IP -> 腾讯云主机内网IP -> Docker SDN端口映射(443指向docker的443, 80之下那个docker的80) -> Docker的NGINX容器的 80和443端口 为什么需要CDN 备注: CDN: 中文名 内容分发网络 如何配置CDN 备注: 此处以百度云CDN为例, 其他CDN要填写的内容大同小异. 开通CDN服务. 我使用的是百度的CDN. 开通很简单, 就是注册账号, 实名认证, 开通... (选填)填写配置信息,根据实际需求,您可在此步骤完成“缓存过期时间”、“缓存key计算策略”、“防盗链”、“安全防护”和“视频拖拽”的设置,接入CDN时您可以选择缺省配置,完成接入后,可以在控制台进行配置与修改
端口特征修改 CobaltStrike的连接端口默认为50050,这是个很明显的特征。要想修改这个默认端口,我们可以修改teamserver文件,将50050端口改成任意其他端口均可。 接下来我们直接去申请 CDN 即可,这里我把域名填为 wwws.microsoft.com。这里端口80和443端口。80端口流量是不加密的,443端口流量是加密的。 这里需要注意的是: 如果是443端口,则后面的 Listener 得是windows/beacon_https/reverse_https 如果是80端口,则后面的 Listener 得是windows 在目标机器上执行 netstat -ano 命令查看端口连接,只能看到该机器与某云CDN的ip进行连接,即使封锁了该ip,仍然会与CDN其他ip进行连接,这样就永远无法阻断与C2服务器的连接了 并且使用 (如下的包得是配置80端口才能抓到,443端口流量加密的抓取不到) 并且不会与我们的C2服务器真实ip进行通信 最终上线流程图 通过比较ip作为Hosts和域名作为Hosts,可以发现两者各有优势
一键接入,全球加速!提供全球范围内快速、稳定、智能、安全的内容加速服务,支持图片、音视频等多元内容分发
有公网IP的话做好端口映射,或者是内网穿透。 做好DNS动态解析,绑定好域名。 在DNS服务商设置加速域名,并选择刚才的域名进行回源。顺利取消端口号。 国内的CDN商一定要备案域名!!! 接下来是映射端口,其中443、80是网页的端口。8888是宝塔面板的默认登陆端口,888是数据库的登陆端口。 其中443、80本地端口与容器端口不能设置成一样的,这应该是个bug,因为我这个ip是独立的,不会存在什么端口占用的情况。我随便填了一个,过会测试的时候,其实依旧是使用的80、443。 设置动态解析与加速域名 端口映射 把刚才的端口映射出去,在路由器上做了设置。那么现在通过外网IP+端口就能够进行访问。 不过我不会内网穿透,因为家里是外网IP,外网穿透可能要稍微多几个步骤。 源站地址这里填写我们刚才做好动态解析与端口映射后能访问的地址。回源host填写加速域名即可,其他的不做改变。 配置好之后去域名管理商那里添加一条指向腾讯云的CNAME记录。
vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙 ) -A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙) 特别提示:很多网友把这两条规则添加到防火墙配置的最后一行 ,导致防火墙启动失败,正确的应该是添加到默认的22端口这条规则的下面 添加好之后防火墙规则如下所示: ###################################### # Firewall state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT -A INPUT -m state –state NEW -m tcp -p tcp –dport 80
引言 横向对比 Gitea 与其它 Git 托管工具 使用 Docker 安装 docker-compose.yml version: "3" networks: gitea: external SSH 配置 参考: 修改了SSH默认端口之后,如何配置git? | ZRONG's BLOG 注意: 这里 Gitea SSH 使用了 222 端口,需要放行 222 端口 .ssh/config # Gitea Host gitea.moeci.com HostName , 过一会即可, 容器内部使用 22 端口, 映射到宿主机 222 端口,放行 222 端口, 本地配置 gitea.moeci.com 使用 222 端口即可,之前不行,应该是没关 Cloudflare CDN 注意: 不能这样指定 222 端口,无效 git clone git@gitea.moeci.com:222:yiyungent/test.git 可以下方这样指定 222 端口 git
端口的外界访问权限,所以这点非常重要,需要用:firewall-cmd --zone=public --list-ports查看当前linux系统开放的端口号,也可以用netstat -tunlp 查看当前 linux系统正在监听的端口号,就知道自己想要的liunx系统端口号是否已经打开。 没有开放的,但是自己又需要用到的,那就马上用:firewall-cmd --permanent --zone=public --add-port=8080/tcp开放端口,其中数字就是你想要开放的端口号 , --permanent参数表示永久的意思,这样就不必每次启动防火墙的时候配置,tcp代表你要开放的端口号的网络协议,也可以是udp的。 3、将80端口的流量转发至8080: firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 --permanent 4.最后别忘了
首先从 www.wooyun.org 服务多次挂的页面可以看出, wooyun 使用了 baidu 的 cdn 服务, 从 wooyun 的漏洞案例上也可以知道 wooyun 使用了 ucloud wget ftp://ftp.apnic.net/public/apnic/stats/apnic/delegated-apnic-latest 0x02 端口扫描 使用 zmap 对全 CN 的 IP 的 80 端口进行扫描. ? #CN.txt为筛选出的国内IP #80.txt为筛选开放80端口的ip 大概需要 20 min 0x03 获取 banner 使用 zmap 的 banner-grab 对扫描出来80 端口开放的主机进行 banner 获取, 不设置 Host, 过滤掉 baidu cdn 错误页面, 空页面, 超时等乱七八糟的页面, 然后就可以得到结果了, 我去问了一下相关负责人 www.wooyun.org 的真实
配置Tomcat监听80端口 tomcat监听的是8080端口,若想要直接直接访问,不需要8080端口访问,就是默认输入一个IP或者域名,访问的是80端口(访问的时候80端口是可以省略的) tomcat 是支持自定义端口的,把 8080端口 改为 80端口 编辑tomcat的配置文件,在 /usr/local/tomcat/conf/目录下有一个server.xml文件 [root@hf-01 ~]# [root@hf-01 ~]# 这时再来查看监听端口是否改变,会看到监听了80端口 [root@hf-01 ~]# netstat -lntp |grep java tcp6 0 端口,因为nginx已经监听了80端口,80端口被占用 nginx占用80端口 解决方法: 停掉nginx服务命令/etc/init.d/nginx stop 再来重启tomcat,会看到tomcat 监听的是80端口 这时再来浏览器访问IP (若是刚重启tomcat服务,8005端口还没启动,那么浏览器访问就会比较慢) ?
修改ssr的user-config.json 两个选一个就行了 443端口 "redirect": "*:443#127.0.0.1:1443", 80端口 "redirect": "*:80#127.0.0.1 :1080", 然后更改nginx的443端口为1443 这样要先启动ssr在启动nginx网站才能访问 这样做估计也没卵用必进流量先到ssr
端口号 443 和 80 端口的区别 一般指定 443 和 80 端口都是使用域名时所需要的 当我们使用域名请求时,一般是不添加端口号的 例如:http://www.baidu.com 在不添加端口号的情况下 ,会有默认端口号的 https 默认端口号为 443 http 默认端口号为 80 同理: ws 默认端口号为 443 wss 默认端口号为 80
问题 使用kong的chart,在kubernetes集群默认安装出来kong的容器是监听8000和8443端口的,而为了让外部以80和443端口访问kong这个API网关,一般会使用kubernetes 能否直接让kong直接监听80和443端口,从而避免反向代理的网络开销,这里进行一些尝试。 Linux capabilities 从上面的报错来看,是说没有足够的权限监听80端口,应该是没有绑定1024以下特权端口的权限。 使用setcap给二进制提权 这时我会问了,为啥安装了apache,以www用户运行apache的二进制程序,为啥又可以监听80端口呢? 和443端口了。
phpstudy的80端口占用 好长时间不用了,今天打开突然说80端口被占用,Apache服务起不来 ? 检查一下看看是谁占用了 cmd窗口输入:netstat -ano 可以看到占用的是 pid 为 4 的 ? 输入:tasklist 看看是谁,system ??
(ssl),这时当猫哥服务器的443端口接入域名时也会在443端口暴露其证书,我们通过证书比对便可发现网站的真实ip; SSL证书搜索引擎: https://censys.io Masscan号称是最快的互联网端口扫描器,最快可以在六分钟内扫遍互联网。 https://github.com/robertdavidgraham/masscan 4.9 配置不当绕过 在配置CDN的时候,需要指定域名、端口等信息,有时候小小的配置细节就容易导致 对ip进行分析ip位属于境外某云数据中心内,除了ssh和web服务外无端口服务再开放。起手式到此,看似聊胜于无。 在ip分析方面,针对ip的分析尽管无可利用漏洞,但是我们可以大胆拟定该云数据中心内可能存在目标其他业务网站,但因是目标网站的真实ip的解析,并未直接将域名控制到80端口根目录,即使你使用真实ip进行访问也依然需要添加相应应用目录
IP 2.确认该节点是否为腾讯云CDN节点IP 3.测试节点文件是否正常 4.测试源站是否正常 5.检查节点上该文件内容是否与源站一致 6.测试某节点下载速度 --------------------- --注意,-x后面跟着的是节点IP加上:端口,http默认为80 image.png 查看正常返回了200 4、测试源站文件是否正常 如果不正常,可用同样的方法,在命令的后面-x的IP更换为源站IP, /imgcache.qq.com/open_proj/proj_qcloud_v2/gateway/portal/css/img/home/qcloud-logo-dark.png" -x 源站IP:80 resolve mc.qcloudimg.com:443:183.2.192.112 -v的话看的信息比较多,能看到详细请求和证书的情况 -o /dev/null 文件不保存 --resolve host:端口 5、检查节点上该文件内容是否与源站一致 有时会遇到这样的情况,源站更新了,但测试节点上面的文件跟自己源站的内容不一样,可以通过这方法测试 curl -o xx "http://119.147.253.22
, 4.国外访问 代理网站App Synthetic Monitor(https://asm.ca.com/en/ping.php) 5.查询域名的解析记录: 查看 IP 与 如果网站在与web相同的服务器和IP上托管自己的邮件服务器,那么原始服务器IP将在MX记录中。 1.NMAP 对端口进行扫描 扫描某一目标地址的指定端口如:21,22,23,80 端口 如果不需要对目标主机进行全端口扫描,只想探测它是否开放了某一端口,那么使用-p参数指定端口号, 较为保守的情况下,对10,000个随机的地址的80端口以10Mbps的速度扫描,如下所示: zmap--bandwidth=10M--target-port=80--max-targets=10000 例如,仅扫描10.0.0.0/8和192.168.0.0/16的80端口,运行指令如下: zmap-p80-o results.csv10.0.0.0/8192.168.0.0/16 如果扫描进行的顺利
02 简单介绍 CDN:全称Content Delivery Network,即内容分发网络,CDN的基本原理是广泛采用各种缓存服务器,将这些缓存服务器分布到用户访问的网络中,在用户访问网站时,由距离最近的缓存服务器直接响应用户请求 02 收集方式 首先需要确认目标网站是否使用了CDN,可使用多地ping的方式。如使用CDN,需绕过CDN查找真实IP。 旁站ip:用whios查询管理员其它的域名,可能与目标域名在同一个服务器,并且未做cdn。 扫描全网:比较复杂,使用 Zmap 的 banner-grab 扫描出来 80 端口开放的主机进行 banner 抓取,最后在 http-req 中的 Host 写 目标地址。 找到真实ip后可准确地进行端口扫描和C段扫描。
因为映射到公网的远程端口有限,所以我们需要多次查询可用的远程端口,例如:查询到10001端口可用,那就选择tcp端口映射 公网服务器的10001端口←—-映射—→本地127.0.0.1:8080端口 ? 因为我是使用的国内云主机,且zh.wikisoft.tk没有进行备案,所以没有办法使用80、8080、443、8443端口提供服务;所以我真实云主机的回连端口使用的是http—2095! 如果你用的是国外云主机,那就直接用80! Cloudflare支持的HTTP端口是:80,8080,8880,2052,2082,2086,2095 Cloudflare支持的HTTPs端口是:443,2053,2083,2087,2096,8443 2.2新建API代理并完成透明代理配置 小坑提示:前端、后端代理的超时时间都设置的长一点!以免超时! ? ? 后端域名:如果是80端口,就直接填写域名,如果是其他端口,就写成 域名:端口 ? ?
可以通过下面四种方法来达到这种效果: 1)针对nginx域名配置所启用的端口(比如80端口)在iptables里做白名单,比如只允许100.110.15.16、100.110.15.17、100.110.15.18 访问.但是这样就把nginx的所有80端口的域名访问都做了限制,范围比较大! -----------------为什么PHP里的HTTP_X_FORWARDED_FOR和Nginx的不一样------------------ 当你的网站使用了CDN后,用户会先访问CDN,如果CDN CDN在回源站时,会先添加x_forwarded_for头信息,保存用户的真实IP, 而你的反向代理也会设定这个值,不过它不会覆盖,而是把CDN服务器的IP(即当前remote_addr)添加到x_forwarded_for location 匹配的优先级(与location在配置文件中的顺序无关) = 精确匹配会第一个被处理。如果发现精确匹配,nginx停止搜索其他匹配。
问题描述 在CDN源站是COS的场景下,如果COS服务配置了跨域策略, CDN没有配置相关的跨域策略, 那么当用户请求CDN时, 如果节点没有缓存,则发起回源。 节点会缓存源站返回的跨域头部。 只要服务器实现了 CORS 接口,即可跨源通信。CDN和COS均支持跨域头设置,可供用户灵活使用。 当CDN的源站是COS的时候,如果COS设置了跨域头,建议CDN的跨域头和COS保持一致的设置,避免CDN缓存头不全,造成的其他用户本想放行的域名跨域头不匹配。 注意不要遗漏协议名 http 或 https,若端口不是默认的80,还需要带上端口。其中 IP 地址的举例为 http://10.10.10.10。 2. 支持输入“*” ,或多个域名 / IP / 域名与 IP 混填(必须包含http://或https://,填写示例:http://test.com,http://1.1.1.1, 逗号隔开)(注意:输入框最多可输入
流量处理 【命令】netcat -l -p 80 【解释】开启本机的 TCP 80 端口并监听次端口的上传输的数据。 【命令】netcat -l -v -p 80 【解释】开启本机的 TCP 80 端口并将监听到的信息输出到当前 CMD 窗口。 【命令】netcat -l -p 80 > log.dat 【解释】开启本机的 TCP 80 端口并将监听到的信息输出到 log.dat 日志文件里。 【命令】netcat -nvv 192.168.1.1 80 【解释】连接到192.168.1.101主机的 80端口 正向连接 【远程运行】netcat -l -p 1234 -t -e 加速,即能通过域名轻松得到真实IP 关于判断CDN、找出CDN下真实IP的方法,我之前整理过,有兴趣的话也许可以看下这篇文章:绕过CDN查看真实IP ?
内容分发网络(CDN)通过将站点内容发布至遍布全国的海量加速节点,使用户可就近获取所需内容,避免网络拥堵、地域、运营商等因素带来的访问延迟问题,有效提升下载速度、降低响应时间,提供流畅的用户体验。
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
文件存储
SSL 证书
WordPress