僅發(fā)布于嗶哩嗶哩與個(gè)人博客 博客鏈接 blog.nebulatown.com

為什么會(huì)寫下這些？

混跡互聯(lián)網(wǎng)如此長的時(shí)間，我深知隱藏自己的真實(shí)身份有多么重要，所以我逐漸習(xí)慣了在不必要的時(shí)候不透露自己的姓名或使用一個(gè)假名。后來逐漸做起了自己的博客，為了防止自己的服務(wù)器被攻擊，我也用CDN把自己的服務(wù)器隱藏起來了。
我在網(wǎng)上看到了很多隱藏源站的教程，從cloudflare，到換證書，甚至是跳板機(jī)，隧道。顯然，這些能夠解決大部分的IP泄露問題。但是最近發(fā)現(xiàn)很多網(wǎng)站源站IP照樣被扒，例如：

該站在一段時(shí)間后被打的很離譜，然后換了IP，CDN改泛播之后五分鐘源IP再次暴露被打死www，不過后來恢復(fù)了（感謝 @wvbskyshi 提供的信息）
又比如：

該站在更換IP后五分鐘IP再次泄露。
包括我站在內(nèi)，很多認(rèn)為隱藏的很好的站點(diǎn)IP都會(huì)不經(jīng)意的泄露。例如星之谷論壇和這個(gè)站點(diǎn)，首先是cloudflare，后來發(fā)現(xiàn)censys可以掃描SSL證書，于是我用上了假證書隱藏源站。之后發(fā)現(xiàn)包追蹤+全網(wǎng)段掃描特征能定位，于是我把服務(wù)器加了一層隧道嵌套。再之后發(fā)現(xiàn)XMLRPC的pingback會(huì)暴露，于是我把服務(wù)器的動(dòng)靜態(tài)，前后端甚至API，服務(wù)器和數(shù)據(jù)庫全部分離，分別用不同的服務(wù)器轉(zhuǎn)發(fā)且中間僅內(nèi)網(wǎng)相連。但后來源IP還是泄露，這便是幾乎無敵的網(wǎng)絡(luò)空間測繪。

什么是網(wǎng)絡(luò)空間測繪?

這個(gè)問題就像什么是測繪，網(wǎng)絡(luò)空間測繪就是把全球互聯(lián)網(wǎng)的每個(gè)服務(wù)器，節(jié)點(diǎn)甚至是每個(gè)打印機(jī)，IOT設(shè)備，UPS都呈現(xiàn)在地圖上。

地球軌道上目前有接近一千顆遙感衛(wèi)星（來源：前瞻產(chǎn)業(yè)研究院），這些衛(wèi)星24小時(shí)連續(xù)環(huán)繞地球進(jìn)行測繪，形成不同類型的地圖。這些地圖被用于國土資源勘探，氣象預(yù)測，環(huán)境監(jiān)測，農(nóng)業(yè)工業(yè)生產(chǎn)以及導(dǎo)航等各種用途。同理，網(wǎng)絡(luò)空間測繪通過分布在世界各地的探測節(jié)點(diǎn)對(duì)各個(gè)網(wǎng)絡(luò)設(shè)施進(jìn)行嗅探，采集分析，從而形成一幅互聯(lián)網(wǎng)地圖。這個(gè)地圖中有這全球骨干網(wǎng)的拓?fù)滏溄?，大量互?lián)網(wǎng)，物聯(lián)網(wǎng)設(shè)備的位置甚至是其中有什么漏洞。

那么，我們該怎么辦？

網(wǎng)絡(luò)空間測繪幾乎是無法逃脫的，不過對(duì)于一些探測點(diǎn)沒有那么多的引擎，我們?nèi)匀挥幸恍┺k法。
1.在基礎(chǔ)的CDN上實(shí)行僅CDN的IP可訪問源站。這樣可以防止以包追蹤，ping-back掃描或snmp掃描被直接發(fā)現(xiàn)。但如果你的服務(wù)器與對(duì)方的掃描節(jié)點(diǎn)剛好在一個(gè)內(nèi)網(wǎng)，大內(nèi)網(wǎng)網(wǎng)段或跨網(wǎng)段容錯(cuò)域，則有可能被服務(wù)器特征分析從而暴露。
2.關(guān)閉或分離一切可以發(fā)出被反查追蹤返回值的API，例如XML-PRC pingback/X-Content-Type-Options/X-Powered-By/X-Csrf-Token等等，這些是網(wǎng)絡(luò)空間測繪的常用手段，即使不會(huì)直接泄露IP，但也會(huì)被分析，匹配。

3.如果源站IP暴露是怕被打，那么直接根源解決問題。例如上f2b，黑洞高防等等。
最后，也是目前我的解決方案。在前面所提的全部方法后做多服務(wù)器轉(zhuǎn)發(fā)，例如我的服務(wù)器架構(gòu)是一臺(tái)內(nèi)網(wǎng)服務(wù)器利用多臺(tái)跳板機(jī)獲得多個(gè)不同內(nèi)網(wǎng)IP，這些跳板機(jī)中進(jìn)行隔離。之后這些內(nèi)網(wǎng)IP外再有多個(gè)跳板獲得多個(gè)外網(wǎng)IP，之后使用CDN，CDN外再套一個(gè)負(fù)載均衡，以此獲得多重冗余的防攻擊和防空間測繪。
事實(shí)上，以上這些都是通過服務(wù)器和網(wǎng)關(guān)虛擬化出來的，目前我通過偽證書防SSL掃描和虛擬化隔離跳板已經(jīng)實(shí)現(xiàn)了價(jià)格很低廉的防攻擊。目前我所知道的只有一個(gè)二級(jí)跳板的IP泄露，但是這并不影響服務(wù)器正常運(yùn)行。即使服務(wù)器遭受攻擊，無非就是負(fù)載均衡中一個(gè)紅燈（）
不過說句實(shí)話，最好的防攻擊工具就是備案。等到自己符合備案條件的時(shí)候做個(gè)備案，被攻擊尋求法律保護(hù)就沒有任何問題了~

本篇文章采用?署名-非商業(yè)性使用-禁止演繹 4.0 國際 (CC BY-NC-ND 4.0)?許可協(xié)議進(jìn)行許可。