做一个永不暴露真实IP的网站，防止DDoS

tlanyan

全球DDCC论坛经常遇到网站被打得不能自理的情况，本人根据经验写了一片防止暴露真实ip的文章，原文在 https://tlanyan.me/do-hide-site-real-ip/，大佬们轻喷。

防范DDoS攻击最主要的手段是加钱上高防，同时隐藏网站真实IP。前文 隐藏网站的真实ip 简要介绍了网站隐藏真实ip的基本操作，但不够详细和深入。本文详细介绍几种网站隐藏真实ip的方法和优缺点，让你能真正做一个永不暴露真实IP的网站。

做一个永不暴露真实IP的网站

既然不想暴露网站的真实IP，那么真实服务器前面至少套一层代理。一般来说，位于最前线的反向代理主要有如下几种：

• CDN：内容分发网络，就近为用户提供服务，加速访问；
• 高防IP：高防IP一般位于大带宽的骨干网节点上，用于清洗DDoS流量；
• SLB：负载均衡器，用在大流量、繁忙的网站上，常见的SLB有LVS、F5等。
  

这三种反向代理主要作用不一样，配置好的情况下都能隐藏服务器真实IP。对于普通的网站，使用CDN或者高防就足够，业务量的情况下才会用到SLB。

下面介绍使用了反向代理的情况下，隐藏网站真实IP的操作。

防火墙

使用防火墙是最简单的做法，即：将反向代理的回源IP加入白名单，屏蔽其他IP的任何请求。

例如使用CloudFlare的免费CDN服务，其回源IP可从 https://www.cloudflare.com/zh-cn/ips/ 获取，然后将其加入白名单，同时屏蔽其他IP：

1. # 将cf ip地址放在 cf_ips.txt
   
2. # 首先将cf的ip加入白名单
   
3. while read -r line
   
4. do
   
5.   firewall-cmd --zone=trusted --add-source=$line
   
6. done < cf_ips.txt
   
7. # 然后移除其他ip对http和https服务的访问
   
8. firewall-cmd --remove-service=http
   
9. firewall-cmd --remove-service=https

复制代码

经过上述设置，Cloudflare 的IP能正常访问，其他IP完全无法访问真实ip的网站服务器，很好的隐藏了真实IP。

该方法设置简单，适用于服务器托管单站点的情形。当服务器上托管多个网站，并且某些站点需要直接暴露外网时，这种做法缺乏灵活性，无法实现。

也可以通过Nginx的allow/deny指令达到相同效果

IPv6

对于防火墙和网络不熟悉的网友，可以考虑使用IPv6来隐藏网站的真实IP。具体操作为：

1.找一台有IPv6地址的服务器，只有IPv6的NAT VPS更好。目前IPv6地址正在普及中，许多商家都免费提供IPv6地址，例如 一些VPS商家整理 中的 阿里云、Vultr、Linode、CloudCone，有的还提供不止一个IPv6地址；

2. 设置网站只监听IPv6端口。以Nginx为例，网站配置文件形如：

1. server {
   
2.     listen [::]:80;
   
3.     server_name 主机名; # 请改成自己的主机名
   
4. 
   
5.     return 301 https://主机名$request_uri;
   
6. }
   
7. server {
   
8.     listen      [::]:443 ssl http2;
   
9.     server_name  主机名;
   
10.     ssl_certificate 证书路径;
    
11.     ssl_certificate_key ssl密钥路径;
    
12.     # 其他设置
    
13. }

复制代码

3. 找一家支持只有IPv6的CDN，例如 Cloudflare，设置IPv6解析：


经过上面三步设置，基本上可确保不会泄漏真实IP，原因如下：

1. 绝大多数情况下，人们都会理所当然的找IPv4，不会想到你的网站根本不存在IPv4网络上；

2. 相对于IPv4，IPv6的地址段实在太庞大。即使有zmap这种几小时扫描完全球ipv4段的神器，或者Shodan搜索引擎，也很难从海量地址中寻找单个地址。

如果不放心，可以同样加上防火墙，就万无一失了：

1. # 首先将cf的ip加入白名单
   
2. while read -r line
   
3. do
   
4.   firewall-cmd --zone=trusted --add-source=$line
   
5. done < cf_ips.txt
   
6. # 然后屏蔽其他地址对ipv6的访问权限
   
7. firewall-cmd --add-rich-rule="rule family='ipv6' source address='::0/0' drop"

复制代码

该方法同样设置简单，以奇招胜出，单台服务器能托管多个网站，并且其他网站可直接暴露不受影响。

CNAME

另一种常见隐藏真实IP方式是使用CNAME，同样无需设置防火墙。其操作如下：

1. CDN回源时使用CNAME方式回源到另一个主机名上。例如www.tlanyan.me回源的www.abcdexfd.com。需要注意的是，前端域名和源站域名最好不是同一个，防止通过爆破二级域名泄漏真实IP；

2. 在源站服务器上设置默认站点，防止通过host方式爆破。由于默认站点只是为了防止SNI方式泄漏真实IP，因此使用自签证书即可：

1. # 生成密钥
   
2. openssl genrsa -out example.key 2048
   
3. # 生成证书，期间需要填一些信息
   
4. openssl req -new -x509 -days 3650 -key example.key -out example.pem

复制代码

接着以Nginx为例，设置默认站点：

1. server {
   
2.   listen 80 default_server;
   
3.   server_name example.com;
   
4.   return 301 https://example.com$request_uri;
   
5. }
   
6. 
   
7. server {
   
8.   listen 443 ssl http2;
   
9.   server_name example.com default_server;
   
10.   ssl_certificate example.pem;
    
11.   ssl_certificate_key example.key;
    
12. }

复制代码

然后重启Nginx即可。

该方法无需设置防火墙，设置较为简单，但是需要额外一个域名。

遇到DDoS怎么办?

如果域名之前从未用过，一出道就用上面提到的方法，基本上可以保证不会泄漏网站的真实IP。

但是不泄漏真实IP不代表不会被DDoS或者CC攻击，遇到DDoS怎么办？解决办法主要有：

1. 加钱上高防保平安；

2. DNS解析域名到127.0.0.1保平安；

3. 关机保平安。

请根据实际情况和业务需求采取相应措施。

jqbaobao

做一个永不暴露真实IP的网站=》没有固定IP的源站=无敌

百元大户

墨墨墨 发表于 2020-10-16 05:09
“文章等数据加密放”github“ 大佬， 可以出个教学吗？ 谢谢了 大概说下原理也行啊。感谢 ...

为什么要加密：为了文章不直接被github检索到
怎么加密：随便怎么加密，比如先异或再Base64
工作流程：用户请求 https://域名/001，部署在cf workers或者云函数上的代码就会运行，获取github仓库里的001文件里的加密文本，解密然后输出到用户最终看到的页面上

用户在浏览器这边F12只能看到已经解密的文本，看不到解密过程，文章仓库不会暴露

我这个项目借鉴了下面这个项目的工作原理，另外重写的，功能更完善更复杂，暂时不打算开源
https://github.com/kasuganosoras/cloudflare-worker-blog

百元大户

学习了，我就一不盈利的个人博客搞不来这些，用js建了个Serverless的动态站，文章等数据加密放github了，没有真实ip便不再操心这些问题。当日免费额度用完大不了就打不开嘛，我并没有损失

茎肛互撸娃

太感谢你了，我爱你

tlanyan

茎肛互撸娃 发表于 2020-10-14 21:11
太感谢你了，我爱你

柯林斯

感谢大佬，这个太牛了（虽然不懂）

榆木

不应该叫CNAME，应该叫修改绑定host

tlanyan

jqbaobao 发表于 2020-10-14 21:12
做一个永不暴露真实IP的网站=》没有固定IP的源站=无敌

ip飘逸，这个操作有点6

244643246

不错，但为了速度我还是选择裸奔，被DD再自动切CDN

tlanyan

柯林斯 发表于 2020-10-14 21:13
感谢大佬，这个太牛了（虽然不懂）

感谢顶帖

tlanyan

榆木 发表于 2020-10-14 21:14
不应该叫CNAME，应该叫修改绑定host

cf上就是cname，国内的cdn一般不带dns解析，才是源站host