業務配置DDoS高防後,如果存在攻擊繞過DDoS高防直接攻擊來源站點的情況,說明來源站點IP地址可能已經暴露,需要您更換來源站點伺服器的IP地址。
排查來源站點IP暴露的原因
更換來源站點伺服器的IP地址前,請務必確認您已經消除了所有可能暴露來源站點IP的因素,避免來源站點IP更換後再次暴露。您可以從以下方面進行排查:
來源站點伺服器上是否存在木馬、後門等安全隱患。
推薦您使用阿里雲Security Center服務檢查和修複伺服器的安全性漏洞。更多資訊,請參見什麼是Security Center。
來源站點伺服器上是否存在沒有配置DDoS高防的其他服務,例如郵件伺服器的MX記錄、BBS記錄等除Web記錄以外的記錄。
重要請仔細檢查網站網域名稱的DNS解析記錄,確認沒有任何記錄直接解析到來源站點伺服器的IP地址。
是否存在網站源碼資訊泄露。例如
phpinfo()指令中可能包含的IP地址等泄露。是否存在惡意掃描。您可以在配置DDoS高防後設定來源站點保護,在來源站點伺服器上只允許存取DDoS高防回源IP的入方向流量。具體操作,請參見接入DDoS高防後如何設定來源站點保護。
更換來源站點IP
確認已消除所有可能暴露來源站點IP的因素後,您可以更換來源站點伺服器的IP地址。具體操作,請參見更換固定公網IP地址。
如果您不想更換來源站點IP或已經更換過來源站點IP但是仍存在IP暴露的情況,建議您在後端ECS伺服器前部署一台Server Load Balancer伺服器(具體操作,請參見負載平衡快速入門)。您可以使用以下網路架構:用戶端->DDoS高防->SLB->ECS。
採用這種架構後,即使攻擊者直接攻擊來源站點,導致來源站點IP被黑洞,通過DDoS高防訪問伺服器依然不受影響。因為負載平衡伺服器到來源站點的訪問流量通過內網傳輸,即使來源站點IP被黑洞,DDoS高防執行個體的IP仍然可以通過負載平衡伺服器訪問來源站點。
應用上述網路架構時,您需要在DDoS高防控制台中填寫負載平衡伺服器的IP作為伺服器位址。