很多互联网企业的服务器在接入高防后,仍然被
DDoS攻击,将服务器打入“黑洞”,但高防后台却又看不到攻击流量数据,这说明攻击绕过DDoS高防直接攻击了源服务器IP,说明源IP地址可能已经暴露。因为很多互联网企业在接入高防前就被攻击过,被抓取到了源IP,这时虽然接入高防可以隐藏源IP,但攻击者直接攻击之前抓取到的源IP,这个时候就必需更换源站服务器的IP地址了。
一、首先排查源IP暴露的原因墨者安全首席安全顾问“孤之剑”建议,在更换源站服务器的IP地址前,首先要排查源IP暴露的原因,确认好已经消除了所有可能暴露源站IP的因素,避免源站IP更换后再次暴露。可以从以下方面进行排查:
1.源站服务器上是否存在木马、后门等安全隐患。
2.源站服务器上是否存在没有配置DDoS高防的其他服务,例如邮件服务器的MX记录、BBS记录等除Web记录以外的记录。
3.检查网站域名的DNS解析记录,确认没有任何记录直接解析到源站服务器的IP地址。
4.是否存在网站源码信息泄露。例如phpinfo()指令中可能包含的IP地址等泄露。
5.是否存在恶意扫描。可以在配置DDoS高防后设置源站保护,在源站服务器上只放行DDoS高防回源IP的入方向流量。
二、更换源站IP确认已消除所有可能暴露源站IP的因素后,可以更换源站服务器的IP地址。更换源IP可能会使业务暂时中断几分钟,墨者盾首席流量专家安大师建议在操作前先备份好数据。不同服务器运营商操作方式可能有所区别,但总体差别不大,这里以阿里云为例,具体操作步骤如下:
1.登录服务器管理控制台。
2.前往接入>网站页面,单击更换ECS IP。
3.更换IP需要将ECS停机,在管理控制台实例列表中找到目标ECS实例,单击其实例ID,在实例详情页,单击停止。
4.返回更换ECS IP对话框,输入ECS实例ID,并单击下一步。
5.确认当前ECS实例信息准确无误(尤其是ECS IP)后,选择更换IP后是否立刻重启ECS,并单击释放IP。
6.成功释放原IP后,单击下一步,为该ECS实例重新分配IP。
7.ECS IP更换成功,单击确认,完成操作。
如果不想更换源站IP或已经更换过源站IP但是仍存在IP暴露的情况,也可以通过在后端ECS服务器前部署一台负载均衡SLB服务器,使用以下网络架构:客户端->DDoS高防->SLB->ECS。采用这种架构后,即使攻击者直接攻击源站,导致源站IP被黑洞,通过DDoS高防访问服务器依然不受影响。因为负载均衡服务器到源站的访问流量通过内网传输,即使源站IP被黑洞,DDoS高防实例的IP仍然可以通过负载均衡服务器访问源站。
关于墨者安全墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和
DDoS攻击防御。