首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

案例研究:绕过CDN云平台被IP

伴随着众多企业网络安全意识的提高,数字业务上云趋势所向,CDN 与安全厂商为企业构筑起了一面 " 安全之盾 ",将 IP 隐藏于盾牌之后,代替企业直面黑灰产攻击者,极大地增加了 DDoS 攻击的成本。...因此,部分攻击者开始尝试绕过 CDN 与云平台,直接针对 IP 发起 DDoS 攻击。...在我们所碰到的一个案例中,某客户执行安全演练时,由于其站 IP 暴露,遭受到了持续的 DDoS 攻击; 尤为特殊的是,客户尝试更换 IP 并且更换服务器后,仍立即遭受到了 DDoS 攻击。...下面给出受攻击排查解决流程,可供大家参考: ·Step.1:第一时间进行已有信息的整理及分析,由于 IP 一经更换便立即受到 DDoS 攻击,因此排除由于历史 DNS 解析导致的 IP 泄漏;并推测很大几率是受业务本身逻辑导致...而这只是 IP泄露方式的冰山一角,历史 DNS 解析记录查询、子域名查询、证书信息查询、邮箱 MX 记录查询、漏洞利用等方式,均可能导致 IP 的泄露,并最终导致企业业务直接暴露与危机四伏的互联网之上

1K40
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    teg cdn迁移

    机群进程信息: 1.master回机:lysnc rsync nginx 2.slave回机:nginx 3.master和slave配置ssh免密,以便lsync同步数据 数据流信息: 1.业务发布时通过...rsync 将文件同步到 回master。...2.master通过lsync将文件同步于回机群。 3.cdn通过访问回机群nginx 拉取文件。 迁移前逻辑架构如图: ? 迁移步骤 1.新机器中选一台作为master其余为slave。...2.在老的master上添加新回机群指向,开始同步数据。 同步中逻辑架构如图: ? 3.待数据同步完成后,新回master 增加新回slave集群指向保持数据同步。...4.业务svr修改指向为新回master,cdn修改指向为新回机群。 5.下架老回机群。 迁移后逻辑架构如图: ?

    1.7K20

    CDN站地址踩坑

    CDN站地址踩坑 为什么官方推荐域名作为站地址呢,我个人理解是考虑像nginx负载均衡一样的,一个域名下有多个实例ip,每次轮询,但配置CND后,电信用户访问时会优先去电信运营商那个ip。...回源流程:访问者(www.yeruchimei.top) -> CDN(回) -> blog.yeruchimei.top(100.100.100.100) -> CDN(返回资源) -> 访问者(获取资源...回源流程:访问者(www.yeruchimei.top) -> CDN(回) -> blog.yeruchimei.top(101.101.101.101) -> CDN(返回资源) -> 访问者(获取资源...回源流程:访问者(www.yeruchimei.top) -> CDN(回) -> blog.yeruchimei.top(100.100.100.100) -> CDN(返回资源) -> 访问者(获取资源...回源流程:访问者(www.yeruchimei.top) -> CDN(回) -> blog.yeruchimei.top(102.102.102.102) -> CDN(返回资源) -> 访问者(获取资源

    1.5K10

    cdn怎么到站获取数据?cdn具备哪些特点?

    cdn怎么到站获取数据?cdn的特点是什么? cdn怎么到站获取数据?...为了帮助大家更好地理解这个问题,先来介绍下cdn站各自的含义,cdn就是内容分发网络的意思,它具有自动化、智能化等多种特点,站可以被理解成为源头的站点,也就是指上级服务器,它代表了用户的站主机地址...cdn站获取数据的基本原理是对各种缓存服务器进行广泛采集,这个过程看似复杂,其实可以在极短时间内完成,然后将这些资源分布到用户集中访问的网站里面,这就能够使得用户访问网站的速度变得更快,cdn还会利用全局负载技术...cdn具备哪些特点? 上文讲解了cdn怎么到站获取数据,现在来看看cdn的特点。...cdn怎么到站获取数据?上文内容就是对该问题的介绍,并且讲解了cdn的特点,cdn技术还可以实现宽带优化,它可以起到减少服务器过载以及分担网络流量等作用。

    2K20

    这就是CDN原理和CDN多级缓存啊!

    小明对项目中的cdn缓存一不是太明白…… CDN原理 回是指浏览器在发送请求报文时,响应该请求报文的是站点的服务器,而不是各节点上的缓存服务器(比如nginx开启缓存),那么这个过程相对于通过各节点上的缓存服务器来响应的话就称作为回...回域名一般是cdn领域的专业术语,通常情况下,是直接用ip进行回的,但是如果客户站有多个ip,并且ip地址会经常变化,对于cdn厂商来说,为了避免经常更改配置(回ip),会采用回域名方式进行回...常规的CDN都是回的。即:当有用户访问某一个URL的时候,如果被解析到的那个CDN节点没有缓存响应的内容,或者是缓存已经到期,就会回站去获取。如果没有人访问,那么CDN节点不会主动去站拿的。...当客户端向CDN节点请求数据时,CDN节点会判断缓存数据是否过期,若缓存数据并没有过期,则直接将缓存数据返回给客户端;否则,CDN节点就会向站发出回请求,从站拉取最新数据,更新本地缓存,并将最新数据返回给客户端...若CDN缓存时间较短,CDN边缘节点上的数据会经常失效,导致频繁回,增加了站的负载,同时也增大的访问延时;若CDN缓存时间太长,会带来数据更新时间慢的问题。

    16K80

    CDN-使用HTTPS协议回

    互联网上存在各种劫持,防不胜防,建议网站采用HTTPS(同时配置HTTP强制跳转HTTPS) 强烈推荐CDN配置HTTPS证书,开启强制跳转,回协议选择HTTPS,不推荐选择HTTP和协议跟随 image.png...image.png 测试验证CDN是否采用HTTPS协议 在站服务器配置HTTPS站点(使用自签的HTTPS证书) image.png image.png 站服务器NGINX日志记录CDN请求使用的是...HTTPS协议 image.png 最终结论是CDN确实采用HTTPS协议,同时也推荐使用HTTPS协议,因为CDN也是通过公网的,也会存在劫持的情况 细心的朋友会发现站服务器使用了自签的HTTPS...证书,这类证书是不被信任的,但是CDN还是能够正常请求站服务器获取到资源,这说明CDN是不校验证书的,站服务器使用自签HTTPS证书或者网上申请的HTTPS证书都是可以的

    3.2K00

    CDN-回超时时间

    配置中有个【回超时配置】,可修改项有【TCP连接时间】和【回加载时间】 TCP连接时间:CDN站服务器建立连接(TCP三次握手)的时间,如果在指定时间内CDN还无法正常连接到站服务器,则CDN...1、CDN节点有异常,但如果也有其他CDN节点与站服务器建立连接失败,那可能是站服务器的问题 2、站服务器配置了防火墙、安全狗,安全组,将CDN节点给拦截了 3、站服务器性能超载,带宽爆满 4、...站服务器针对单个客户端IP做了访问次数限制 回加载时间:CDN站服务器建立连接成功后,如果在指定时间内源站服务器还未将数据传给CDN,则CDN主动断开 举个栗子:CDN站服务器建立连接之后...发起HTTP请求,站服务器接受了CDN的HTTP请求,但站服务器拒绝从8011端口传数据出去给CDN,那CDN也就没办法收到站服务器发送出去的数据了,10秒之后CDN主动断开连接 image.png...发起HTTP请求,但站服务器拒绝了CDN的HTTP请求,站服务器收不到CDN发起的HTTP请求,那也就没办法传数据给CDN了,10秒之后CDN主动断开连接

    2.8K30

    CDN-境内境外回路径

    加速区域选择【全球】,站只使用国内云服务器,测试结论如下 1、当用户访问到国内节点时,CDN使用国内的回节点进行回,最终回到国内云服务器(站) image.png 国内用户:129.211.208.231...国内CDN节点:220.194.88.144 完整访问路径:国内用户 -> 国内CDN节点 -> 国内云服务器 2、当用户访问到海外节点时,CDN使用海外的回节点进行回,最终回到国内云服务器(...站),这里有个问题,使用海外CDN节点回到国内云服务器存在跨境,有可能无法正常回 image.png 海外用户:43.129.95.138 海外CDN节点:119.28.165.12 完整访问路径...:海外用户 -> 海外CDN节点 -> 国内云服务器 注意:海外CDN节点 -> 国内云服务器,这段路径存在跨境,可能影响正常回 解决方案 1、使用2个站,1个国内云服务器和1个海外云服务器,国内...CDN节点回到国内云服务器,海外CDN节点回到海外云服务器 推荐架构: 1)国内用户 -> 国内CDN节点 -> 国内云服务器 2)海外用户 -> 海外CDN节点 -> 海外云服务器

    3.6K00

    腾讯云CDN使用(接入方式:COS)

    鉴于流量也没有, 就丢腾讯云的CDN里算了, 反正一个月免费10G流量. 当然没有自有源, 就用腾讯的存储桶(即COS), 腾讯免费送50G的对象存储, 对于我反正够用 1....image.png 拉到底, 可以看到静态网站, 默认配置应该就可以了, https那个后面在CDN里配置, 没有的也可以不选 ? image.png 2. CDN配置 2.1 新建CDN ?...image.png 站类型如果你有自己部署过的服务, 则选择能访问到你服务的类型, 比如ip能访问, 你就选站IP;能用域名访问就选站域名; 没有服务, 就选择COS吧, 上面提到了 ?...2.2 管理CDN 新建站信息, 编辑主站 ? image.png 我们配COS的, 记得选上静态网站这个选项哦, 然后选择对应的存储桶即可啦 ?...配置域名解析 可以看到新建了cdn域名后, 会给个CNAME, ? 然后我们去云解析 ? image.png 然后记录类型选择CNAME, 记录纸填入之前cdn里的CNAME, 保存即可啦 ?

    5.2K10

    CDN-资源过期后如何回

    如果存放在CDN上的资源过期了,CDN并不会主动回,而是等用户过来访问资源才会触发回。 那么CDN时都做了哪些行为呢?下面来测试揭晓。...首先将txt文件后缀的缓存时间改成30秒,这样txt文件在CDN上只缓存30秒就会过期,30秒过后用户再次访问就会触发回。...image.png 在站服务器上用tcpdump抓包(内容如下图),资源过期后触发回CDN过来的请求会携带If-Modified-Since,该请求头的作用是判断站服务器的txt文件是否有更新。...image.png 如果站服务器的txt文件的Last-Modified发生了变化,CDN则要求站提供最新的txt文件,然后CDN将最新的txt文件返回给用户,并同时更新节点上的txt文件。...所以呢,Last-Modified头部还是很重要的,建议站服务器务必返回该头部给CDN,如果站服务器不返回Last-Modified 头部,CDN可能无法正常更新节点上的txt文件,从而导致用户会一访问到旧的资源

    2.2K10

    CDN站可用性测试工具

    目前较大规模的网站在搭建时都会使用CDN的架构,以提高用户访问网站的速度。如果访问量较大话一台服务器的性能已经不能够满足当前的业务需求,此时往往都用到负载均衡,其后端绑定多个服务器的架构。...本文提供一个功能较为齐全的站可用性测试工具,用来快速检测站资源不一致的问题。.../CDNSourceTest.git 工具介绍 sourcetest.sh 为shell测试脚本,能够针对多个站发起指定次数的HTTP或HTTPS请求,来检测多站可用性。...如果是http请求,只需要指定站的监听端口就可以进行测试,测试结束后会打印相关的测试结果信息。 image.png 如果测试有非200的状态码,会打印异常站。...image.png 和HTTP请求一样,如果测试有非200的状态码,会打印异常站。如果没有会提出站正常。 希望通过该工具能工简化多站一致性的方法,如果有任何想法,欢迎私信。

    5.1K272

    放行CDN节点解决方案

    需求背景: 客户的站希望控制访问的渠道, 控制站请求量,往往希望要求索要回IP,然后在客户侧对回IP进行加白放行。...放行CDN回源流量可以选用如下2个方案: 解决方案: 方案1:通过api获取回ip接口获取ip列表进行定期加白,此种方案受CDN扩容,替换等变更等影响,会造成同步更新不即时,也只推荐短期使用。...API见:https://cloud.tencent.com/document/product/228/50513 方案2:通过特定的UA加白,CDN会默认携带X-Tencent-Ua:Qcloud...回,也可以根据客户需求携带自定义header回。...= "Qcloud") { return 403; } 注意:在加白后需观察确认所有域名是否已经正常无回失败,可在控制台上查看回效果

    2.4K60

    CDN-获取回节点白名单

    对于站服务器有安全组,防火墙,安全狗等等防护措施的场景,接入CDN后需要在站服务器做白名单配置,获取回节点白名单大致有以下四种方案 1、CDN控制台 获取 image.png 2、DescribeIpStatus...接口 回节点常有更新,请定期调用接口获取最新节点信息 3、CDN固定 Request Header CDN有个固定 Request Header ,就是 X-Tencent-Ua: Qcloud...image.png 可以在站服务器做一个判断,回到站的请求必须携带 X-Tencent-Ua: Qcloud 才能通行 例如可以在NGINX中可以加入下面的规则 if ($http_x_tencent_ua...= "Qcloud") { return 403; } image.png 4、自定义 Request Header image.png 同样需要在站服务器的NGINX配置中加入规则,规则方法参考第

    3.2K41

    cdn内容分发保持网站更新一致

    图片除了手动更新cdn缓存服务还提供了自动更新的服务,在此处设置缓存时间即可。图片节点缓存过期配置可以设置站资源在 CDN 节点的缓存过期时间,以调整站资源在 CDN 节点缓存更新频率。...若用户访问的资源在 CDN 节点的缓存未过期,CDN 节点直接将缓存返回给用户;若用户访问的资源在 CDN 节点未缓存该资源或缓存已过期,则 CDN 节点会回站获取最新资源并缓存到 CDN 节点,同时返回给用户...若站资源更新后,需要立刻更新 CDN 节点的缓存,可使用 缓存刷新 功能主动更新 CDN 节点未过期的缓存,使 CDN 节点缓存与站资源保持一致。...缓存过期时间过短,会导致 CDN 频繁回,增加站的带宽;缓存过期时间过长,会导致 CDN 缓存更新慢,影响用户获取最新的资源。CDN 节点会按照 腾讯云 CDN 缓存规则及优先级 缓存资源。...旧版本的节点缓存过期配置文档查看:节点缓存过期配置 (旧)站可通过设置响应头 Cache-Control 控制 CDN 节点的缓存过期时间(缓存选项为:遵循站),同时 CDN 节点将 Cache-Control

    70030

    CDN节点和站结果不一致

    知识点 CDN作为分布式加速系统,不管如何,只是作为加速,不会对资源更改,返回给客户的内容需要和站保持一致 问题描述 客户端请求经过CDN节点与直接访问站的结果不同 问题分析 当客户端请求到达CDN...节点后,会进行下列判断 命中缓存且缓存数据没有过期 CDN节点直接返回结果给客户端 未命中缓存 CDN节点转发客户端请求,同时在HTTP Request Header请求头中追加一些特定的参数,最终请求站...Ali-Cdn-Real-Ip:客户端真实IP地址。 Ali-Swift-Range-Cache:如果您启用了Range回CDN节点就会追加该参数,详情请参见配置range回。...小结 用户通过 URL 进行资源访问时,真实的客户访问资源时并不会关心节点和站资源是否一致,一般都是cdn厂商的客户反馈访问节点和直接访问站结果不一致或者节点回拉取资源后和站资源不一致,当用户通过...疑问 哪些某些情况下,站对于HTTP Request Header请求头中追加的特定参数会有不同的处理方式 当客户端请求到达CDN节点后,谁来判断是否命中cdn节点且缓存是否过期

    2.2K40
    领券