分区域解析

将大陆和海外分开解析,推荐使用华为云 DNS,支持单独为各个国家和区域设置解析线路。

网站安全防护方法

无备案网站的大陆线路推荐使用一些专为大陆优化的香港 / 日本等节点的 CDN,如 FarCDN,如您网站有备案,则可以选择使用更快的国内 CDN 服务,但建议不要直接使用腾讯云之类的 CDN,因为一旦欠费,巨额账单你无法承受,可以使用像多吉云这样的融合 CDN 商家,价格便宜,线路更多;当然还是推荐使用带有防护的 CDN 产品,如百度云加速,注意不是百度智能云。

海外线路可以直接无脑接入 CloudFlare,目前 CloudFlare 除了 DNS 接入方式外,可以使用 SAAS 方式接入,这个方法可以自行百度,此处不做过多赘述。

网站安全防护方法

使用分区域解析的原因很简单,攻击者使用的都是海外 IP 池,分开解析后这部分攻击会被 CloudFlare 接下,不影响正常访问。

如果你在此前已经被攻击过,请在你的服务商更换 IP 后再使用此方案,否则源 IP 仍会被恶意攻击。

加强方案

给服务器设置一个默认站点,并给默认站点配置一个 ssl,可以有效避免攻击者通过 ssl 证书查询到您的源服务器 IP。

宝塔用户可添加一个网站(域名随意写),然后为这个网站配置一个无效的证书,配置好证书之后在宝塔面板后台:【网站】-【默认站点】中心选择刚才添加的这个网站作为默认站点。

可以使用这个证书:

证书 (PEM 格式)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

密钥 (KEY)

-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----

以上证书可生成的一个无效域名 ssl 证书,可用于预防 ssl 证书泄露 IP,证书过期也可以继续使用。

您可以访问

https://search.censys.io/

输入域名查询您的 IP 有没有被证书泄露,

可访问

https://ipchaxun.com/

查询到域名历史解析记录,如您直接解析过 A 记录,可能已经被这种网站记录下来,所以强烈建议更换 IP 后再使用以上方案。

邮件通知

如您网站有邮件通知,请务必换成第三方发信,如阿里云邮件推送,否则攻击者可通过 SMTP 邮件获取到你的服务器 IP 地址,从而攻击源站。

对象存储

如您使用了国内大厂的对象存储服务,您可以给对象存储域名再套一层防护 CDN,比如您使用了腾讯云 oss,要求您将 xx.xx 别名解析到 oo.oo,那么你可以使用 CDN 防护服务,将 CDN 源站地址写 oo.oo,然后将 xx.xx 解析到 CDN 提供的地址上,再开启 CDN 的防御策略,则可有效避免对象存储被盗刷。

禁用端口

大部分攻击方式为 UDP,您可在服务器防火墙禁用并拦截所有 UDP 端口。

原文地址:https://dai.ge/118.html