由于部分攻击者会记录源站使用过的 IP,因此在使用 DDoS 高防 IP 后,如果还存在绕过高防直接攻击源站 IP 的情况,建议更换源站 IP。
如不想更换源站 IP 或已经更换过 IP但仍存在 IP 暴露情况,为防止出现攻击绕过高防直接攻击源站 IP 的情况,强烈参考下面方法以保护源站 IP:
不使用与旧源站 IP 相同或相近网段的 IP 作为新的源站 IP,避免攻击者对 C 段或相近网段进行猜测和扫描。
提前准备备份链路和备份 IP。
设置访问来源范围,避免攻击者的恶意扫描。
参考 与源站结合的防护调度方案,结合实际情况进行应用。
说明:
更换源站 IP 之前,请务必确认已消除所有可能暴露源站 IP 的因素。
在更换源站 IP 前可参考下列检查方法,对暴露源站 IP 的可能因素进行逐一排查,避免新更换的源站 IP 继续暴露。
检查方法
DNS 解析记录检查
检查该遭到攻击的旧源站 IP 上所有 DNS 解析记录,如子域名的解析记录、邮件服务器 MX(Mail Exchanger)记录以及 NS(Name Server)记录等,确保全部配置到高防 IP,避免部分解析记录直接解析成新更换的源站 IP。
信息泄露及命令执行类漏洞检查
检查网站或业务系统是否存在信息泄露的漏洞,如 phpinfo() 泄露、GitHub 信息泄露等。
检查网站或业务系统是否存在命令执行类漏洞。
木马、后门检查
检查源站服务器是否存在木马、后门等隐患。