伴随着众多企业网络安全意识的提高,数字业务上云趋势所向,CDN 与安全厂商为企业构筑起了一面 " 安全之盾 ",将源 IP 隐藏于盾牌之后,代替企业直面黑灰产攻击者,极大地增加了 DDoS 攻击的成本。...因此,部分攻击者开始尝试绕过 CDN 与云平台,直接针对源 IP 发起 DDoS 攻击。...在我们所碰到的一个案例中,某客户执行安全演练时,由于其源站 IP 暴露,遭受到了持续的 DDoS 攻击; 尤为特殊的是,客户尝试更换源 IP 并且更换服务器后,仍立即遭受到了 DDoS 攻击。...下面给出受攻击排查解决流程,可供大家参考: ·Step.1:第一时间进行已有信息的整理及分析,由于源 IP 一经更换便立即受到 DDoS 攻击,因此排除由于历史 DNS 解析导致的源 IP 泄漏;并推测很大几率是受业务本身逻辑导致...而这只是源 IP泄露方式的冰山一角,历史 DNS 解析记录查询、子域名查询、证书信息查询、邮箱 MX 记录查询、漏洞利用等方式,均可能导致源 IP 的泄露,并最终导致企业业务直接暴露与危机四伏的互联网之上
打开nginx配置,http模块填写如下内容: set_real_ip_from 0.0.0.0/0; real_ip_header X-Forwarded-...
回源机群进程信息: 1.master回源机:lysnc rsync nginx 2.slave回源机:nginx 3.master和slave配置ssh免密,以便lsync同步数据 数据流信息: 1.业务发布时通过...rsync 将文件同步到 回源master。...2.master通过lsync将文件同步于回源机群。 3.cdn通过访问回源机群nginx 拉取文件。 迁移前逻辑架构如图: ? 迁移步骤 1.新机器中选一台作为master其余为slave。...2.在老的master上添加新回源机群指向,开始同步数据。 同步中逻辑架构如图: ? 3.待数据同步完成后,新回源master 增加新回源slave集群指向保持数据同步。...4.业务svr修改指向为新回源master,cdn修改指向为新回源机群。 5.下架老回源机群。 迁移后逻辑架构如图: ?
CDN源站地址踩坑 为什么官方推荐域名作为源站地址呢,我个人理解是考虑像nginx负载均衡一样的,一个域名下有多个实例ip,每次轮询,但配置CND后,电信用户访问时会优先去电信运营商那个ip。...回源流程:访问者(www.yeruchimei.top) -> CDN(回源) -> blog.yeruchimei.top(100.100.100.100) -> CDN(返回资源) -> 访问者(获取资源...回源流程:访问者(www.yeruchimei.top) -> CDN(回源) -> blog.yeruchimei.top(101.101.101.101) -> CDN(返回资源) -> 访问者(获取资源...回源流程:访问者(www.yeruchimei.top) -> CDN(回源) -> blog.yeruchimei.top(100.100.100.100) -> CDN(返回资源) -> 访问者(获取资源...回源流程:访问者(www.yeruchimei.top) -> CDN(回源) -> blog.yeruchimei.top(102.102.102.102) -> CDN(返回资源) -> 访问者(获取资源
cdn怎么到源站获取数据?cdn的特点是什么? cdn怎么到源站获取数据?...为了帮助大家更好地理解这个问题,先来介绍下cdn与源站各自的含义,cdn就是内容分发网络的意思,它具有自动化、智能化等多种特点,源站可以被理解成为源头的站点,也就是指上级服务器,它代表了用户的源站主机地址...cdn从源站获取数据的基本原理是对各种缓存服务器进行广泛采集,这个过程看似复杂,其实可以在极短时间内完成,然后将这些资源分布到用户集中访问的网站里面,这就能够使得用户访问网站的速度变得更快,cdn还会利用全局负载技术...cdn具备哪些特点? 上文讲解了cdn怎么到源站获取数据,现在来看看cdn的特点。...cdn怎么到源站获取数据?上文内容就是对该问题的介绍,并且讲解了cdn的特点,cdn技术还可以实现宽带优化,它可以起到减少服务器过载以及分担网络流量等作用。
小明对项目中的cdn缓存一直不是太明白…… CDN回源 回源原理 回源是指浏览器在发送请求报文时,响应该请求报文的是源站点的服务器,而不是各节点上的缓存服务器(比如nginx开启缓存),那么这个过程相对于通过各节点上的缓存服务器来响应的话就称作为回源...回源域名一般是cdn领域的专业术语,通常情况下,是直接用ip进行回源的,但是如果客户源站有多个ip,并且ip地址会经常变化,对于cdn厂商来说,为了避免经常更改配置(回源ip),会采用回源域名方式进行回源...常规的CDN都是回源的。即:当有用户访问某一个URL的时候,如果被解析到的那个CDN节点没有缓存响应的内容,或者是缓存已经到期,就会回源站去获取。如果没有人访问,那么CDN节点不会主动去源站拿的。...当客户端向CDN节点请求数据时,CDN节点会判断缓存数据是否过期,若缓存数据并没有过期,则直接将缓存数据返回给客户端;否则,CDN节点就会向源站发出回源请求,从源站拉取最新数据,更新本地缓存,并将最新数据返回给客户端...若CDN缓存时间较短,CDN边缘节点上的数据会经常失效,导致频繁回源,增加了源站的负载,同时也增大的访问延时;若CDN缓存时间太长,会带来数据更新时间慢的问题。
回源配置中有个【回源超时配置】,可修改项有【TCP连接时间】和【回源加载时间】 TCP连接时间:CDN与源站服务器建立连接(TCP三次握手)的时间,如果在指定时间内CDN还无法正常连接到源站服务器,则CDN...1、CDN节点有异常,但如果也有其他CDN节点与源站服务器建立连接失败,那可能是源站服务器的问题 2、源站服务器配置了防火墙、安全狗,安全组,将CDN节点给拦截了 3、源站服务器性能超载,带宽爆满 4、...源站服务器针对单个客户端IP做了访问次数限制 回源加载时间:CDN与源站服务器建立连接成功后,如果在指定时间内源站服务器还未将数据传给CDN,则CDN主动断开 举个栗子:CDN与源站服务器建立连接之后...发起HTTP请求,源站服务器接受了CDN的HTTP请求,但源站服务器拒绝从8011端口传数据出去给CDN,那CDN也就没办法收到源站服务器发送出去的数据了,10秒之后CDN主动断开连接 image.png...发起HTTP请求,但源站服务器拒绝了CDN的HTTP请求,源站服务器收不到CDN发起的HTTP请求,那也就没办法传数据给CDN了,10秒之后CDN主动断开连接
绕过CDN的思路 网上有很多绕过CDN的思路,但是存在很多问题,以下是收集并总结的思路。 站在站长的角度,不可能每个站都会用上CDN。...站在DNS服务商的角度,历史解析记录可能不受CDN服务商控制。 站在CDN服务商的角度,提供CDN服务的区域有限制,CDN流量有限制。...可以通过互联网络信息中心的IP数据,筛选目标地区IP,遍历Web服务的banner用来对比CDN站的banner,可以确定源IP。.../delegated-afrinic-latest 拉美:ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest CDN...服务商 入侵CDN服务商 根据CDN解析特性获取源IP(如www.crimeflare.com) 耗尽CDN服务流量,暴露真实IP
.52hyjs.com/usr/themes/handsome/assets/img/emotion/aru/speechless.png" class="emotion-aru"> 别着急 接着往下看 利用cdn...加速去掉端口 加快访问速度 CDN加速(全球加速又拍云 国外免费加速) 本篇主要讲解 国外免费CDN 打开网站注册 传送门 注册成功后 登录成功后 点击站点管理 增加站点 选择你需要的产品...kangle里面分配给你的那个域名 切记一定要加上端口号 详见图片 点击确认后会给你分配一个 CNAME记录值 这时候 就去你的域名注册商那里 解析你的域名到这个CNAME记录值就可以了 又拍云CDN
互联网上存在各种劫持,防不胜防,建议网站采用HTTPS(同时配置HTTP强制跳转HTTPS) 强烈推荐CDN配置HTTPS证书,开启强制跳转,回源协议选择HTTPS,不推荐选择HTTP和协议跟随 image.png...image.png 测试验证CDN回源是否采用HTTPS协议 在源站服务器配置HTTPS站点(使用自签的HTTPS证书) image.png image.png 源站服务器NGINX日志记录CDN回源请求使用的是...HTTPS协议 image.png 最终结论是CDN回源确实采用HTTPS协议,同时也推荐使用HTTPS协议,因为CDN回源也是通过公网的,也会存在劫持的情况 细心的朋友会发现源站服务器使用了自签的HTTPS...证书,这类证书是不被信任的,但是CDN还是能够正常请求源站服务器获取到资源,这说明CDN回源是不校验证书的,源站服务器使用自签HTTPS证书或者网上申请的HTTPS证书都是可以的
背景: 安全性考虑(假装safe)源站做了访问策略,限制了访问ip,接入cdn后回源的都是cdn节点信息,那么如何获取呢???...---- 找到了一篇接口文章(https://cloud.tencent.com/document/product/228/7364)用于查询 CDN 所有回源层 IP 列表。...a = Auth('GetCdnMiddleSourceList','AKIDxxxxxxxxxxxx','keyxxxxx','ap-guangzhou') sign = a.make('cdn.api.qcloud.com...替换其中的API密钥即可,密钥获取:https://console.cloud.tencent.com/cam/capi 输出参数: image.png 请求示例: image.png 得到最终所有回源IP...,添加到源站白名单即可。
加速区域选择【全球】,源站只使用国内云服务器,测试结论如下 1、当用户访问到国内节点时,CDN使用国内的回源节点进行回源,最终回源到国内云服务器(源站) image.png 国内用户:129.211.208.231...国内CDN节点:220.194.88.144 完整访问路径:国内用户 -> 国内CDN节点 -> 国内云服务器 2、当用户访问到海外节点时,CDN使用海外的回源节点进行回源,最终回源到国内云服务器(...源站),这里有个问题,使用海外CDN节点回源到国内云服务器存在跨境,有可能无法正常回源 image.png 海外用户:43.129.95.138 海外CDN节点:119.28.165.12 完整访问路径...:海外用户 -> 海外CDN节点 -> 国内云服务器 注意:海外CDN节点 -> 国内云服务器,这段路径存在跨境,可能影响正常回源 解决方案 1、使用2个源站,1个国内云服务器和1个海外云服务器,国内...CDN节点回源到国内云服务器,海外CDN节点回源到海外云服务器 推荐架构: 1)国内用户 -> 国内CDN节点 -> 国内云服务器 2)海外用户 -> 海外CDN节点 -> 海外云服务器
鉴于流量也没有, 就丢腾讯云的CDN里算了, 反正一个月免费10G流量. 当然没有自有源, 就用腾讯的存储桶(即COS源), 腾讯免费送50G的对象存储, 对于我反正够用 1....image.png 拉到底, 可以看到静态网站, 默认配置应该就可以了, https那个后面在CDN里配置, 没有的也可以不选 ? image.png 2. CDN配置 2.1 新建CDN ?...image.png 源站类型如果你有自己部署过的服务, 则选择能访问到你服务的类型, 比如ip能访问, 你就选源站IP;能用域名访问就选源站域名; 没有服务, 就选择COS吧, 上面提到了 ?...2.2 管理CDN 新建源站信息, 编辑主源站 ? image.png 我们配COS的, 记得选上静态网站这个选项哦, 然后选择对应的存储桶即可啦 ?...配置域名解析 可以看到新建了cdn域名后, 会给个CNAME, ? 然后我们去云解析 ? image.png 然后记录类型选择CNAME, 记录纸填入之前cdn里的CNAME, 保存即可啦 ?
如果存放在CDN上的资源过期了,CDN并不会主动回源,而是等用户过来访问资源才会触发回源。 那么CDN回源时都做了哪些行为呢?下面来测试揭晓。...首先将txt文件后缀的缓存时间改成30秒,这样txt文件在CDN上只缓存30秒就会过期,30秒过后用户再次访问就会触发回源。...image.png 在源站服务器上用tcpdump抓包(内容如下图),资源过期后触发回源,CDN过来的请求会携带If-Modified-Since,该请求头的作用是判断源站服务器的txt文件是否有更新。...image.png 如果源站服务器的txt文件的Last-Modified发生了变化,CDN则要求源站提供最新的txt文件,然后CDN将最新的txt文件返回给用户,并同时更新节点上的txt文件。...所以呢,Last-Modified头部还是很重要的,建议源站服务器务必返回该头部给CDN,如果源站服务器不返回Last-Modified 头部,CDN可能无法正常更新节点上的txt文件,从而导致用户会一直访问到旧的资源
目前较大规模的网站在搭建时都会使用CDN的架构,以提高用户访问网站的速度。如果访问量较大话一台服务器的性能已经不能够满足当前的业务需求,此时往往都用到负载均衡,其后端绑定多个服务器的架构。...本文提供一个功能较为齐全的源站可用性测试工具,用来快速检测源站资源不一致的问题。.../CDNSourceTest.git 工具介绍 sourcetest.sh 为shell测试脚本,能够针对多个源站发起指定次数的HTTP或HTTPS请求,来检测多源站可用性。...如果是http请求,只需要指定源站的监听端口就可以进行测试,测试结束后会打印相关的测试结果信息。 image.png 如果测试有非200的状态码,会打印异常源站。...image.png 和HTTP请求一样,如果测试有非200的状态码,会打印异常源站。如果没有会提出源站正常。 希望通过该工具能工简化多源站一致性的方法,如果有任何想法,欢迎私信。
需求背景: 客户的源站希望控制访问的渠道, 控制源站请求量,往往希望要求索要回源IP,然后在客户侧对回源IP进行加白放行。...放行CDN回源流量可以选用如下2个方案: 解决方案: 方案1:通过api获取回源ip接口获取ip列表进行定期加白,此种方案受CDN扩容,替换等变更等影响,会造成同步更新不即时,也只推荐短期使用。...API见:https://cloud.tencent.com/document/product/228/50513 方案2:通过特定的UA加白,CDN回源会默认携带X-Tencent-Ua:Qcloud...回源,也可以根据客户需求携带自定义header回源。...= "Qcloud") { return 403; } 注意:在加白后需观察确认所有域名是否已经正常无回源失败,可在控制台上查看回源效果
对于源站服务器有安全组,防火墙,安全狗等等防护措施的场景,接入CDN后需要在源站服务器做白名单配置,获取回源节点白名单大致有以下四种方案 1、CDN控制台 获取 image.png 2、DescribeIpStatus...接口 回源节点常有更新,请定期调用接口获取最新节点信息 3、CDN固定 Request Header CDN回源有个固定 Request Header ,就是 X-Tencent-Ua: Qcloud...image.png 可以在源站服务器做一个判断,回到源站的请求必须携带 X-Tencent-Ua: Qcloud 才能通行 例如可以在NGINX中可以加入下面的规则 if ($http_x_tencent_ua...= "Qcloud") { return 403; } image.png 4、自定义 Request Header image.png 同样需要在源站服务器的NGINX配置中加入规则,规则方法参考第
图片除了手动更新cdn缓存服务还提供了自动更新的服务,在此处设置缓存时间即可。图片节点缓存过期配置可以设置源站资源在 CDN 节点的缓存过期时间,以调整源站资源在 CDN 节点缓存更新频率。...若用户访问的资源在 CDN 节点的缓存未过期,CDN 节点直接将缓存返回给用户;若用户访问的资源在 CDN 节点未缓存该资源或缓存已过期,则 CDN 节点会回源站获取最新资源并缓存到 CDN 节点,同时返回给用户...若源站资源更新后,需要立刻更新 CDN 节点的缓存,可使用 缓存刷新 功能主动更新 CDN 节点未过期的缓存,使 CDN 节点缓存与源站资源保持一致。...缓存过期时间过短,会导致 CDN 频繁回源,增加源站的带宽;缓存过期时间过长,会导致 CDN 缓存更新慢,影响用户获取最新的资源。CDN 节点会按照 腾讯云 CDN 缓存规则及优先级 缓存资源。...旧版本的节点缓存过期配置文档查看:节点缓存过期配置 (旧)源站可通过设置响应头 Cache-Control 控制 CDN 节点的缓存过期时间(缓存选项为:遵循源站),同时 CDN 节点将 Cache-Control
案例背景: cdn节点测试访问异常,出现空响应,直接访问源站正常,这里看起来像是节点出现异常。 问题描述: 通过cdn节点访问出现rst,绑定源站访问正常。...image.png 3.通过分析日志看到节点是有发起回源请求的,这里是有发起回源请求的,但是回源节点回源失败。...image.png 4.绑定复现节点测试,在源站抓回源包流,抓包命令: tcpdump -n host 回源节点ip -w ..../target.cap image.png 可以看到在节点与源站建联成功之后,源站发rst导致回源失败,从而cdn节点访问失败。...解决方案: 可以通过接口拿到cdn侧回源层ip,检查下源站是否对这些回源层ip有封堵。
例如 cloud.tencent.com ,我们直接Ping的话会发现该网站套了CDN,无法获取源站IP,而我们通过 https 协议访问该网站源站下某个IP(42.194.253.127)时,可以发现...图片图片图片3.通过历史解析记录分析源站IP(该方法适用于解析过IP地址然后套了CDN但是没有更换源站的网站)这里我们用到的网站是 https://securitytrails.com/ (需要注册并登录...---现在我们知道了如何寻找别人的源站IP,那么针对上面的方法,我们就可以尝试着去保护自己的源站 IP如何保护自己的源站IP1.给你的网站套上 CDN 或 ECDN首先,也是最重要的一点,给你的网站套上...CDN ,如果你的网站是纯静态网站就使用 CDN ,其他的统统使用 ECDN ,亦或者是选择动静分离的方案;添加CDN的具体操作请参考官方文档:内容分发网络 CDN 从零开始配置 CDN-快速入门-文档中心...-腾讯云 (tencent.com)2.删除旧的解析记录并更换源站服务器IP(看情况而定)如果你曾经把域名直接解析到服务器IP了的话,那么你就有必要在使用 CDN 并添加 CNAME 解析以后删除以前的
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
