本文探讨了Nginx配置不当可能导致服务器IP及其关联域名被非法扫描的问题,并提供了三种解决方案:禁止直接访问IP、自签IP的SSL证书并返回444状态码、仅允许指定CDN的IP访问。
| 我们通常会用cdn套到服务器ip上,来为网站或者后端程序做加速、防御。可是nginx在设计上有个小缺陷,会因为ssl证书泄露网站的原IP |
原理
用Nginx部署网站,在默认或不正确的配置下,网站开启ssl,直接访问ip的443端口,即ip:443,Nginx会返回默认一个站点的ssl证书,间接的能让别人扫到这个ip对应的域名。
原理就是对ip的443端口发送clienthello,对方回复的 serverhello中有ssl证书,ssl证书里的common name 有域名信息。这样就知道了解析这个ip的域名。所以更准确的说是IP的443端口可能会暴露了域名。
动作再大一点,批量扫描机房的ip段,把对应的域名-ip 的多值映射表统计起来。以后想查某个域名对应的源站 ip 查这个表就够了,这是黑产喜欢干的事。
同时也是很多站点,明明套上了cdn,依然能被打到源站IP的原因。
解决办法
禁止直接访问IP
# 禁止IP直接访问网站
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
return 444;
}
自签IP的SSL证书,返回444
自签证书的目的不是为了访问,而是避开Nginx的这个缺陷。生成自签的IP S
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
