使用所获得的知识于伦理目的
Cloudflare - 一家提供CDN服务、DDoS防护等的公司。简单来说,云服务有助于减轻负载和替换IP地址,保护免受DDoS攻击,将所有流量重定向到https,也就是说,凭借证书可以连接支付系统和许多其他功能。因此,云服务的受欢迎程度每年都在增长。可以参考wappalyzer的统计数据。
讨论的主题:
- 简介。如何设置Cloudflare
- 在云后查找IP的方法
- 针对 SSL 的现成解决方案
在寻找IP之前,重要的是要理解云的作用以及管理员如何配置它,以便大致了解管理员可能会犯的错误。
简而言之,它是如何工作的:
- 管理员在 cloudflare.com 上注册账户
- 指定域名并选择免费或付费套餐。付费套餐的主要区别在于只能添加最多 3 条规则。也就是说,如果管理员决定节省开支,功能将受到限制,这将影响其资源的安全性。
- 更改域名的 NS 服务器
- 安装 SSL 证书
- 设置必要的规则。例如,将 http 转发到 https
- 配置 WAF。如果管理员认真对待这个问题,他不仅会阻止 OWASP 前 10 的攻击,还会阻止可疑的流量。他如何能够阻止爬虫和解析?进行检查,如果网站是通过 http 和 ipv6 访问的,则请求验证码并重定向到 https。Ipv6 在普通用户中几乎不普遍,通常它们很便宜,因此经常用于爬虫和其他可疑的活动。根据统计,超过 98% 的全球互联网流量使用 IPv4 协议,尽管 IPv6 有不少优势。接下来,管理员可以禁止低版本的 http 协议。行为型机器人主要使用 HTTP/1 和 HTTP/1.1 协议。最后,他可以创建一个过滤器,以便只有来自特定国家的访问才能进入资源。规则示例:(ip.geoip.country ne "RU")
动作: Block
我们已经确认,设置 Cloudflare 是一项相当简单的任务。如果管理员稍微努力一下,就可以忘记 Acunetix 和其他自动扫描器。我想现在明白为什么有必要找到云后的 IP 了。
但仅仅找到IP并不总是足够。例如,管理员可以做些什么来防止通过IP直接访问80端口的网站:
服务器 {
监听 80 默认
t_server;