業務配置DDoS高防后,如果存在攻擊繞過DDoS高防直接攻擊源站的情況,說明源站IP地址可能已經暴露,需要您更換源站服務器的IP地址。
排查源站IP暴露的原因
更換源站服務器的IP地址前,請務必確認您已經消除了所有可能暴露源站IP的因素,避免源站IP更換后再次暴露。您可以從以下方面進行排查:
- 源站服務器上是否存在木馬、后門等安全隱患。
推薦您使用阿里云云安全中心服務檢查和修復服務器的安全漏洞。更多信息,請參見什么是云安全中心。
- 源站服務器上是否存在沒有配置DDoS高防的其他服務,例如郵件服務器的MX記錄、BBS記錄等除Web記錄以外的記錄。
注意 請仔細檢查網站域名的DNS解析記錄,確認沒有任何記錄直接解析到源站服務器的IP地址。
- 是否存在網站源碼信息泄露。例如
phpinfo()指令中可能包含的IP地址等泄露。 - 是否存在惡意掃描。您可以在配置DDoS高防后設置源站保護,在源站服務器上只放行DDoS高防回源IP的入方向流量。具體操作,請參見接入DDoS高防后如何設置源站保護。
更換源站IP
確認已消除所有可能暴露源站IP的因素后,您可以更換源站服務器的IP地址。具體操作,請參見更換源站ECS公網IP。
如果您不想更換源站IP或已經更換過源站IP但是仍存在IP暴露的情況,建議您在后端ECS服務器前部署一臺負載均衡SLB服務器(具體操作,請參見負載均衡快速入門)。您可以使用以下網絡架構:客戶端->DDoS高防->SLB->ECS。
采用這種架構后,即使攻擊者直接攻擊源站,導致源站IP被黑洞,通過DDoS高防訪問服務器依然不受影響。因為負載均衡服務器到源站的訪問流量通過內網傳輸,即使源站IP被黑洞,DDoS高防實例的IP仍然可以通過負載均衡服務器訪問源站。
說明 應用上述網絡架構時,您需要在DDoS高防控制臺中填寫負載均衡服務器的IP作為服務器地址。