業(yè)務(wù)配置DDoS高防后,如果存在攻擊繞過DDoS高防直接攻擊源站的情況,說明源站IP地址可能已經(jīng)暴露,需要您更換源站服務(wù)器的IP地址。
排查源站IP暴露的原因
更換源站服務(wù)器的IP地址前,請務(wù)必確認(rèn)您已經(jīng)消除了所有可能暴露源站IP的因素,避免源站IP更換后再次暴露。您可以從以下方面進(jìn)行排查:
- 源站服務(wù)器上是否存在木馬、后門等安全隱患。
推薦您使用阿里云云安全中心服務(wù)檢查和修復(fù)服務(wù)器的安全漏洞。更多信息,請參見什么是云安全中心。
- 源站服務(wù)器上是否存在沒有配置DDoS高防的其他服務(wù),例如郵件服務(wù)器的MX記錄、BBS記錄等除Web記錄以外的記錄。
注意 請仔細(xì)檢查網(wǎng)站域名的DNS解析記錄,確認(rèn)沒有任何記錄直接解析到源站服務(wù)器的IP地址。
- 是否存在網(wǎng)站源碼信息泄露。例如
phpinfo()指令中可能包含的IP地址等泄露。 - 是否存在惡意掃描。您可以在配置DDoS高防后設(shè)置源站保護(hù),在源站服務(wù)器上只放行DDoS高防回源IP的入方向流量。具體操作,請參見接入DDoS高防后如何設(shè)置源站保護(hù)。
更換源站IP
確認(rèn)已消除所有可能暴露源站IP的因素后,您可以更換源站服務(wù)器的IP地址。具體操作,請參見更換源站ECS公網(wǎng)IP。
如果您不想更換源站IP或已經(jīng)更換過源站IP但是仍存在IP暴露的情況,建議您在后端ECS服務(wù)器前部署一臺負(fù)載均衡SLB服務(wù)器(具體操作,請參見負(fù)載均衡快速入門)。您可以使用以下網(wǎng)絡(luò)架構(gòu):客戶端->DDoS高防->SLB->ECS。
采用這種架構(gòu)后,即使攻擊者直接攻擊源站,導(dǎo)致源站IP被黑洞,通過DDoS高防訪問服務(wù)器依然不受影響。因?yàn)樨?fù)載均衡服務(wù)器到源站的訪問流量通過內(nèi)網(wǎng)傳輸,即使源站IP被黑洞,DDoS高防實(shí)例的IP仍然可以通過負(fù)載均衡服務(wù)器訪問源站。
說明 應(yīng)用上述網(wǎng)絡(luò)架構(gòu)時(shí),您需要在DDoS高防控制臺中填寫負(fù)載均衡服務(wù)器的IP作為服務(wù)器地址。