酷盾安全

节点IP地址段

酷盾安全节点IP地址段,需要在服务器内加入白名单,防止源站拦截节点IP导致回源失败。如使用的宝塔面板,可在Nginx防火墙-全局配置 – IP白名单(设置)- 导入上述IP地址段。

其他防火墙类似。

华东:122.228.8.1-122.228.8.255
华东:180.188.16.219-180.188.16.215
华东:115.238.196.240-115.238.196.245
华东:43.248.192.120-43.248.192.140
华东:103.239.244.110-103.239.244.120
华中:111.173.117.70-111.173.117.80
华中:61.136.166.240-61.136.166.250
西南:36.170.50.180-36.170.50.190
西南:112.45.36.155-112.45.36.170
西南:112.192.19.140-112.192.19.150
西南:222.211.73.70-222.211.73.80
HK:156.251.136.14-156.251.136.30
HK:121.127.249.1-121.127.249.255
HK:123.108.111.1-123.108.111.155
HK:38.55.195.1-38.55.195.255
KR:54.180.105.35-54.180.105.50
SGP:15.235.192.23-15.235.192.30
US:45.158.21.80-45.158.21.150
US:154.22.122.1-154.22.122.255
US:66.11.117.150-66.11.117.200
US:104.218.234.80-104.218.234.100
US:104.218.235.150-104.218.235.170
JP:45.149.156.130-45.149.156.150
JP:91.199.209.50-91.199.209.90
FR:146.59.226.70-146.59.226.90
FR:94.23.165.10-94.23.165.30




注:如上述添加了,还是大量返回5xx等状态码,请联系客服排查。
阿里云服务器可参考此教程:https://www.kdun.cn/docs/522.html

最近接到客户反馈,网站已经在多个方面上做好了源站IP保密工作,并且在接入高防cdn之后源站服务器仍然遭受到多次ddos攻击,通过多方面排查基本确定泄露网站源站服务器IP的原因是因为ssl证书。

市面上很多工具爬虫24小时不停的抓取扫描IP,这类的工具网站通过无差别HTTP/HTTPS请求所有的IP,并将抓取到的IP地址所对应的网站记录到网站,以至于有些攻击者可以通过这类的网站可以直接查询到网站源站IP,因此我们在搭建网站的时候一定要做好屏蔽安全工作。

1. 排查教程

排查是否属于上述问题:通过https://你的源站IP,如果可以访问并且浏览器左上角锁的标志中显示了你的域名ssl证书那么就存在泄露的风险。如下图:

防ssl证书漏源服务器IP方案插图

1. 解决方案

下面以宝塔为案列操作,其他操作类似。

宝塔面板用户可添加一个随意的网站1.1.1.1【域名或者IP随意】,然后删除宝塔创建网站默认生成的全部文件,然后为这个随意添加的网站配置一个无效的证书(本文下方会为大家提供一个无效的证书使用),配置好证书之后在宝塔面板后台:【网站】-【默认站点】中心选择刚才添加的这个随意的网站作为默认站点。

如下图:

防ssl证书漏源服务器IP方案插图1

①证书(PEM格式)
-----BEGIN CERTIFICATE-----
MIID2TCCAsGgAwIBAgICQyIwDQYJKoZIhvcNAQELBQAwczELMAkGA1UEBhMCQ04x
EDAOBgNVBAgMB1RpYW5qaW4xEDAOBgNVBAcMB1RpYW5qaW4xFTATBgNVBAoMDENI
SU5BU1NMIEluYzEpMCcGA1UEAwwgQ0hJTkFTU0wgQ2VydGlmaWNhdGlvbiBBdXRo
b3JpdHkwHhcNMjIwNzE2MTQ1MDE0WhcNMjMwNzE2MTQ1MDE0WjB/MQswCQYDVQQG
EwJDTjEQMA4GA1UECAwHdGlhbmppbjEKMAgGA1UECgwBMTELMAkGA1UECwwCaXQx
JjAkBgNVBAMMHXd3dy5kc2dmc2RnZHNnZHNnc2Rnc2Rnc2QuY29tMR0wGwYJKoZI
hvcNAQkBFg4xOTExMDA2QHFxLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC
AQoCggEBAL0OnjqcAUkfvH05du4JpelkrGUHWeZgO/iyxf12oOJV1x7YzEYIJLL6
++PMt4yQEO5tApDg4Evi7R+fOmVd8fSY2flUSRrEvY69gnr3EVcQ8xRNqlpnLTU8
klkHgOBC+RbKRvj8Rb8HNQmc8TXQvy4B+QfH8ZGQUyLFCTWfitmdRYKR5WZvPoMn
12MnCInuN4MURGeZf9D+dntRpJhqjchaQvTkXEvbnOCYoQSvUVkO2kyXt5g3G3jf
+VwI3nZxu8Dw71m3asOl4mhruFSk5HJMYizEjOAbAku6eC7vn/ICKCZXAyDgUUJU
FmY93c7EvGKC2gABL52Cec7PhNlBHVkCAwEAAaNrMGkwHwYDVR0jBBgwFoAUXB8j
+sjhITHC2Df2iPzSb8JUQzMwCQYDVR0TBAIwADALBgNVHQ8EBAMCBPAwLgYDVR0R
BCcwJYIJbG9jYWxob3N0ggx3d3cudGVzdC5jb22HBMCoAAGHBH8AAAEwDQYJKoZI
hvcNAQELBQADggEBADk7ccqVNyzyZnJZoP6xz00tvvsMXouJg7KZsjrP7lBFii4o
2QVo9ZVCO28pctiiKY2mYt36963SS+OvSSaXI7UNczPcOCMIxvlLaNFySShjkAAM
D9IkHvuXS6fQ1uUhA69AHdkpr6okXYup1hG1uI3Lu23/FSYclKmgEgW0BD5ycOdV
j4hIpFEyfY49RMQGyNbGIFvVRdCm58NxGkUVKjUQAv9DlkqEE+5dhziBoocXI/aE
TBZDtxtyyWrx46miRyI2zE6wdQy9uhPMgfPoXky9UZ+UuwB3ikbQJQIi1K7hpOfX
EVgzwQ05SusJxs27XofX8H+bYuhfIL62fqMbDWw=
-----END CERTIFICATE-----
②密钥(KEY)
-----BEGIN PRIVATE KEY-----
MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9Dp46nAFJH7x9
OXbuCaXpZKxlB1nmYDv4ssX9dqDiVdce2MxGCCSy+vvjzLeMkBDubQKQ4OBL4u0f
nzplXfH0mNn5VEkaxL2OvYJ69xFXEPMUTapaZy01PJJZB4DgQvkWykb4/EW/BzUJ
nPE10L8uAfkHx/GRkFMixQk1n4rZnUWCkeVmbz6DJ9djJwiJ7jeDFERnmX/Q/nZ7
UaSYao3IWkL05FxL25zgmKEEr1FZDtpMl7eYNxt43/lcCN52cbvA8O9Zt2rDpeJo
a7hUpORyTGIsxIzgGwJLungu75/yAigmVwMg4FFCVBZmPd3OxLxigtoAAS+dgnnO
z4TZQR1ZAgMBAAECggEBAIxoq+k5bdcCI/oY0JQvRDJXm5WY5RKtDD1DgLoi/Y+7
Uv5M40Fr0N3Ae40OwI87e+envE0fRlX13kgq+LLKF+WiE9kR2Q1xapr1ck+i6RTx
uKaum8Nyd2ffaY2HfhaQhvB/IEDRE3exgZl3HsnqE+K2gl5eB7IlLylWjuVtbTD6
TE0+f/MnYjrkjZ7AKi8m/0JjYPbgCp/+uINHVJ1snxSFXogSrSxkMRNJVFVV9Mc3
ydg51H4HoLvtbj6E25AwVBIkexsEj5SOOjcV1py+hcSnKTxMKW9xxp04s44hTh9s
t1k/yKL4pvn/ytNwdBy1rlr8/45KLslrW2rcHCLmzIECgYEA+sQJRi8XP3P343i+
ar0PiP70hxq/wFDMOJCAhOHyER03nT9CCgHCqctVJZtlpU08g7JGQoDJ/OzuKh+r
jq2yGcxuuRYyE1YbebFpeqIdMZSW63LX2abQm676Uk5eThPc/9aGuJ/RAR1+wakL
2yZXZKVs33xasPvRdewh3ejJChECgYEAwQDXpXCqjzEQwr9WyWfmiulzrj70aAHe
n0sVf8UbWk/mb2xHCOLhoHEexar9MnA0A4hj1KNQnmzmz5FCTaCjtp9xQPWJ51ht
/3lfEFdD1N5NtVw9HC+szAMO9s4F6GSzuvhouZ0/7CaAd+yqvHEIwgwT6J/4KO8X
QH7uxWce1skCgYEAzClA17hNOCcFolhSx3pHpKTWlwyrIztlGYRkbku6lj5wYgD3
lkgaobzfBPBA0FVSuHIzi79pNBf+S6NfPJmkECcF2oD8oguP8QMFOoe0NwKf4O+u
VxDedHIAcXRGiVDYtB6HrtbHBh5qbedgtLrBmjqoqkeHWuKahWSLqiz1SNECgYEA
oiGhBhulS/C90buGnl6n7p26TfAYxJ59c3dRsinUloN0Yrmk2rQtMeiVHxxK4uoa
57TVmDUxbkSxiEDQYAHIRYufSiB6HlvM28YLs+B63QF6ahX4SAtMr30KPw5HLDgc
O76dyv9sSWb2mMe5jd+uqcQXnV10zH49HDMFRdMgtvECgYEA9TBOzBTR2Pivh1N5
TAl1+uIv9Vq780+PIHHBKSf7WkZ78ekK7SyDKL0sTDTyy8IUOiatyPH5CSoqLYAz
AGswsXGzdZjxTPiulrDuMIpPIf3Ch06xNe7/1WaHrdqLRZPZp7FQJsFC+U1/gL9a
7Uaq+UQy/JBccdrV6YMFThZYmsc=
-----END PRIVATE KEY-----

以上证书为随意生成的一个无效域名ssl证书,可用于预防ssl证书泄露IP所导致的风险问题,证书过期也可以继续使用,不影响预防IP泄露风险的效果(有动手能力的朋友也可以自行生成ssl证书)。

经常有遇到使用阿里云服务器的用户反馈访问访问会出现502、520等5**错误提示,客户阿里云服务器状态正常,节点并未发现故障,大概率是因为阿里云对回源节点旁路安全检查限制导致的回源错误。

 

1. 配置IP白名单

阿里云控制台》安全中心》安全管控》设置IP白名单》添加:阿里云后台添加地址

选择对应的云服务器,如果云服务器有使用弹性公网IP选择对应的弹性公网IP,源IP输入0.0.0.0(代表全部的IP),将对应的云服务器或者弹性公网IP点击箭头选至右侧窗口,点击确定等待10分钟即可。

阿里云安全管控白名单插图

如需要通过API在线自动申请SSL证书,优势:自动DNS验证,全自动化申请HTTPS证书。具体步骤如下:

 

1. 证书管理

进入 CDN 控制台,在【证书管理】界面,选择「DNS API」模块,点击进入,找到添加API配置,如图所示:

HTTPS API自动申请插图

 

2. 添加API

进入 DNS API 模块后,点击输入相关参数,如图所示:

DNS接口支持大部分服务商例如:阿里云DNS丶DNSpod丶Cloudflare丶GoDaddy

免费证书申请插图1

3. API 添加证书

后续可利用API接口自动申请SSL证书,操作步骤如下:

按照上图填写完毕后,在【证书管理】界面,选择「证书管理」模块,点击进入》添加证书模块,如图所示:

输入DNS管控域名,即可在线申请HTTPS证书。

HTTPS API自动申请插图2

 

4. 名词讲解

定义名称:自己定义名字,方便自己识别。

注:具体各家服务商DNS  API密钥如何获取,可咨询具体的服务商,或百度处理。

Ali_key:DNS核心API密钥。

Ali_Secret:DNS核心API公钥。

 

 

酷盾安全支持自动化一键申请HTTPS【ZeroSSL RSA Domain Secure Site CA】(品牌可能会变动,不影响效果。)加密证书,方便快捷。具体步骤如下:

提示:每次申请为三个月,支持提前重签。

1. 证书管理

进入 CDN 控制台,点击网站管理》证书管理,可查看当前域名的状态。

申请前准备步骤

1:控制台绑定相关域名,并且已经解析到系统分配的CNAME记录值(如何查看是否解析正确,参考:验证 CNAME 配置是否生效

测试无误后,点击签发即可。走系统申请的,支持自动续签。每三个月为一个周期。

免费HTTPS证书申请插图

 

酷盾安全基于多个构架全新打造3.0 AI防护引擎SCDN是针对中小型企业安全国内防护而推出的高防SCDN内容分发平台,具有防注入,集分布式 DDoS 防护、CC 防护、WAF 防护、BOT 行为分析为一体的安全加速解决方案的SCDN加速+防护一体化产品,助力企业更好的发展,稳定安全上云。

前言_2.0插图

1. 封禁统计

酷盾安全WAF拦截后,如何查看以及解封,具体步骤如下:

进入 CDN 控制台,点击网站管理》统计分析》黑名单IP,可查看当前账号名下域名的拦截状态详细报表。

如查询到误拦截,可点击解封操作,也可以直接点击全部释放(高频攻击下,不建议操作全部释放)。

封禁统计插图1

 

公共规则不一定适合所有类型站点,推荐采用自定义模式,具体步骤如下:如某API需单独设置防护,或者放行等规则。

1.精准访问控制

进入 CDN 控制台,选择站点管理》我的域名,在【功能配置】界面,选择「域名管理」模块,点击进去【精准访问控制】选择自定义规则,如图所示:

自定义WAF规则插图

2.添加自定义WAF规则

选择后,点击【新增】如图所示

选择匹配类型,匹配目标,单次一条匹配值。

比如设置IP地址类型

匹配值输入IP地址,执行过滤拉黑等操作。

自定义WAF规则插图1

2.1 匹配器

IP地址:常用于IP地址加白或者拉黑处理。常用于IP地址加白或者拉黑处理。

IP地址:比如指定某条域名,执行某个规则。单独控制。

URL:某条URL加白,或者特定拦截。

URL:某条URL加白,或者特定拦截【不带参数:列入某些URL后面带有?等参数】。

请求类型:支持常见的POST/GET/HEAD/DELETE/CONNECT/OPTION/TRACE;识别处理,拦截或放行。

浏览器User-Agent:加白或拉黑特定UA识别。

请求来源:比如来自某条URL访问的访客,例如:http://demo.kdun.cn/456.html。

国家代码:例如中国:CN,拉黑或者放行,可参考:https://www.kdun.cn/docs/201.html

2.2 操作符

选择匹配器后,随即需要配合操作符参数如图所示

等于:即与匹配值完全匹配条件才成立,例如某个IP地址,匹配后才会执行。

不等于:参考等于讲解。

包含:要匹配的值包含有匹配值条件就成立,如请求URI为/index.php,匹配值为php的,条件成立,规则执行。

不包含:参考包含讲解。

前缀匹配:即从前面开始匹配,如请求URI为/api/index,当匹配值为/api时,条件成立,值为index时,必须为/api,否者条件不成立。

后缀匹配:即从尾部开始匹配,如请求URI为/api/index,当匹配值为index时,条件成立,匹配值为/api时,必须为/index,否者条件不成立

正则匹配:如^/[0-9]+,即匹配以/开头,后面接数字的URI。

自定义WAF规则插图2

 

3. WAF案列展示

某WordPress站点,日访问量平时只有几千PV,接入酷盾SCDN之前突发上万,不正常流量,经技术初步判断是有异常采集,以及恶意刷URL行为,并有少量CC攻击。

以下规则,可进行参考。

自定义WAF规则_2.0插图2

4. WAF拦截效果

具有防刷,防下载,放注入等功能。更多功能等你来体验。

自定义WAF规则_2.0插图3

 

如果成功接入后、则可进行WAF防火墙的配置规则酷盾安全SCDN具有防CC防DDOS功能,具体步骤如下:

1.精准访问控制

进入 SCDN 控制台,选择站点管理》我的域名,在【功能配置】界面,选择「域名管理」模块,点击进去【精准访问控制】,如图所示:

 

公共WAF规则插图

2.公共WAF讲解

①通用模式

适合大部分站点的规则,但不一定适合全部;

②触发验证

触发模式,达到一定阈值后,开启规则,并封闭海外访问;

③无感验证

浏览器模式的验证,无触发盾验证,攻击大扛不住。

④五秒盾

5秒验证模式,验证即自动通过。

⑤点击验证

点击跳转的WAF验证方式;

④数字验证

数字验证方式,点击下面最大的数字,验证成功后,自动跳转(此WAF规则,CC防护效果最佳)。

⑤关闭验证

所有WAF规则全部关闭,如被攻击后果很严重,推荐没有攻击的业务才选择(直接选择自定义,不设置任何规则,即关闭验证)。

⑥关闭WAF

所有WAF规则全部关闭。【谨慎关闭,关闭后,受到攻击会直接瘫痪】

 

3.屏蔽海外

当站点攻击后,可进行海外屏蔽【根据大数据统计攻击大部分来自海外,屏蔽后,可大大降低攻击压力】具体操作如下:

可一键选择屏蔽,如:境外(包括港澳台);境外(不包括港澳台);境内(包括港澳台);境内(不包括港澳台)

公共WAF规则插图1

CDN之缓存规则,减少回源时间,通过CDN缓存节点分发,加快资源获取速度,从而提升站点访问速度。具体步骤如下:

1. 缓存配置

进入 CDN 控制台,点击域名管理》我的域名,在【功能配置】界面,选择「缓存配置」模块,点击进入,找到高级缓存配置,如图所示:

缓存配置插图

 

常见静态资源推荐全部选择,但少数后缀不推荐缓存,比如:php;jsp;asp;aspx;js;xml;等动态文件,因需实时请求,不建议缓存,否则会造成不必要的影响。

2. 名词讲解

酷盾安全SCDN支持三种模式缓存,

如下:

① 后缀名

以后缀名方式匹配【多个以|分割】,适合针对一些静态资源缓存,比如图片,js,css等等,缓存内容格式参考如下:

css|js|jpg|jpeg|gif|ico|png|bmp|pict|csv|doc|pdf|pls|ppt|tif|tiff|eps|ejs|swf|midi|mid|ttf|eot|woff|otf|svg|svgz|webp|docx|xlsx|xls|pptx|ps|class|jar

注:上述缓存规则适用于大多数常规网站,如您的网站是使用的类似vue框架,需要使用js或css参与前端数据调用,可去除上述缓存内容中的js和css。

② 目录

目录类型缓存适合整个目录的内容缓存,如网站文章类目录:https://www.kdun.cn/ask/567.html,缓存内容格式参考如下:

/ask/|/about/|/cdn/

上述缓存规则中的news、about、cdn可替换成自己的网站对应的目录,如需要缓存更多的目录可使用|间隔开。

③ 全路径

全路径类型缓存适合某几个特定的页面缓存,需要匹配网站全部路径规则才会触发缓存,如某一篇文章:https://www.kdun.cn/news/567.html,缓存格式参考如下:

/news/844.html|/news/845.html

上述的缓存规则中的路径为您要缓存的页面全路径,无需填写主域名,多个页面可使用|间隔开。

④ 不缓存

有些网站页面是不需要缓存的,比如网站登陆、注册、用户中心,如果缓存会导致无法注册,会员登陆串号,因此在不清楚的情况下一定不要随意设置缓存,设置缓存仅仅是针对一些静态资源。设置不缓存规则与设置缓存规则类似,不同的便是将有效期设置为0秒,不缓存规则如下

/user/|/register/|/login/

对于90%以上的网站,只需要做好第一种类型缓存配置即可,如果对缓存规则熟悉的用户,可尝试根据网站不同页面进行缓存。如后期被缓存的资源需要更新,可前往【网站管理】》【刷新预热】对需要刷新的url或目录进行刷新。

如果以上配置测试、缓存验证测试都正常,则可进行加速域名 CNAME 的配置,具体步骤如下:

1.获取 CNAME 域名

进入 CDN 控制台,选择网站管理》我的网站,在【功能配置】界面,选择「域名管理」模块,相应区域可查看 CNAME 地址,如图所示:

CNAME 配置插图

 

2.修改 CNAME 记录

登入域名的 DNS 服务商网站,修改 CNAME 记录,具体配置方法可参见如下链接:

DNSPod CNAME 接入 CDN

新网 CNAME 接入 CDN

万网 CNAME 接入 CDN

酷番云 CNAME 接入CDN

3.验证 CNAME 配置是否生效

因 DNS 解析记录都有缓存时间,CNAME 的生效时间一般是 600s,可通过 ping 所配置的加速域名,检验 CNAME 配置是否生效,如果后缀显示为 dnsv.com.cn/dnsv.cc,则证明 CNAME 配置已生效,即加速业务正式开始启用。如下图所示:

CNAME 配置插图1

 

如有疑问请联系官方客服 联系我们

©2016-2022 KDun KDUN.CN. All Rights Reserved 酷盾安全 版权所有