V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LeeReamond
V2EX  ›  信息安全

有关 DDOS 和 CC 攻击的区别

  •  
  •   LeeReamond · 2022-02-25 11:13:22 +08:00 · 2137 次点击
    这是一个创建于 1002 天前的主题,其中的信息可能已经有所发展或是发生改变。

    百度查了一些资料,感觉都是套娃互相转实在看的累人。来求证一下论坛老哥理解的对不对

    1 、dos 攻击和 cc 攻击在原理和行为都很相近,只不过 dos 是攻击传输层的有点类似于攻击服务器物理资源,cc 是使应用层负载饱和,不知道这么理解对不对。 2 、基于上一点理解,ddos 攻击基于传输层那么可以利用公网服务器反射,cc 则无法白嫖别人的服务器反射。我好奇的点是主流服务商对于类似的攻击行为没有应对方案么,难道随便谁来都可以用我的服务器做跳板反射攻击别人? 3 、基于上两点理解,所以所谓的一些高防运营商,比如比较有名的 ovh ,是搞了一些物理设备可以比较快速地处理传输层攻击封包,所以叫高防。如果遇到 cc 攻击他们不会起到什么帮助作用? 4 、最后再问一个好奇的,个人网站现在一般是通过挂 cf 的方式隐藏源 IP ,但是签发 lets encrypt 证书的时候服务器 IP 又是固定声明的,所以 cf 隐藏源 IP 有什么用呢,如果被指定 IP 指向源服务器发送请求仍会被源服务器当做合法请求处理么,毕竟源服务器又分不清哪些请求是 cf 送过来的,哪些是攻击者送过来的。

    12 条回复    2022-02-28 18:51:14 +08:00
    lonewolfakela
        1
    lonewolfakela  
       2022-02-25 11:20:12 +08:00
    “签发 lets encrypt 证书的时候服务器 IP 又是固定声明的”
    呃,不太明白你的意思。签发证书和 IP 地址有什么关系呢?
    Love4Taylor
        2
    Love4Taylor  
       2022-02-25 11:38:47 +08:00 via iPhone
    acme 又不是只有 http 验证,你用 dns 验证不就行了
    Love4Taylor
        3
    Love4Taylor  
       2022-02-25 11:40:01 +08:00 via iPhone
    另外你要是实在担心去用 Cloudflare Origin CA 再开客户端验证。
    codehz
        4
    codehz  
       2022-02-25 14:06:21 +08:00 via Android
    CF 的证书是 CF 帮你签名的,非要在源服务器上加证书(而不是 flexible 模式)可以用 cf 给的专用证书。

    然后现在 argo tunnel 已经免费下放了,不需要公开任何端口(甚至没有公网 ip )就可以对外提供网页服务。
    rv54ntjwfm3ug8
        5
    rv54ntjwfm3ug8  
       2022-02-25 15:02:50 +08:00
    "签发 lets encrypt 证书的时候服务器 IP 又是固定声明的"是什么意思,用 http 验证签 let's encrypt 的证书有泄露 IP 的风险吗?
    LeeReamond
        6
    LeeReamond  
    OP
       2022-02-25 22:32:08 +08:00
    @lonewolfakela
    @Love4Taylor
    @theklf4 可能我表达有问题,我的意思是 lets encrypt 签发后服务 IP 的 443 接口会固定暴露源证书。这种类似于网上有很多服务记录 dns 解析记录,如果你曾经解析到某 IP 会被记下来,同理 443 端口也有服务在扫描,再加上服务商 IP 段可能被重点照顾,暴露源服务 IP 后似乎没有任何防御手段。


    @codehz 所谓 cf 专用证书应该怎么操作,一般的方法做法都是 acme.sh 搞个证书,然后 cf 再搞个 strict 模式吧,毕竟无法接受服务 http 裸奔
    Love4Taylor
        7
    Love4Taylor  
       2022-02-25 22:40:11 +08:00
    > 443 端口也有服务在扫描

    你都挂 CF 了就不能做一下来源白名单?
    https://support.cloudflare.com/hc/en-us/articles/201897700-Allowing-Cloudflare-IP-addresses
    lonewolfakela
        8
    lonewolfakela  
       2022-02-25 22:50:35 +08:00
    @LeeReamond 呃,配置成对于不报对应的域名的 SNI 、直接使用 ip 的所有连接直接拒绝就好了,为啥要把带域名的证书发给这些请求……而且确实如楼上所说,你都 CF 了,那直接白名单就好了啊
    disk
        9
    disk  
       2022-02-25 22:52:26 +08:00
    啥呀,既然挂 cf 就不需要用 lets encrypt 证书(你想用得升到企业订阅),strict 模式下服务器用的证书是 cf 提供的,通过经过身份验证的源服务器拉取可以使服务器识别请求是不是 cf 发过来的。
    codehz
        10
    codehz  
       2022-02-25 22:59:24 +08:00 via Android
    @LeeReamond
    https://developers.cloudflare.com/ssl/origin-configuration/authenticated-origin-pull/set-up
    按这个教程

    其实现在推荐用免费下方的 argo tunnel ,无需端口暴露,直接 http 也不用担心数据泄漏(反正无论如何 cf 都要解密内容)
    LeeReamond
        11
    LeeReamond  
    OP
       2022-02-25 23:58:44 +08:00
    @Love4Taylor 学习了,没关注过 cf 这些以前信息,以前就随便一挂
    D7S
        12
    D7S  
       2022-02-28 18:51:14 +08:00
    @codehz 国外 vps 安装这没问题,想说试试自家电脑(win),结果建立 tunnel 就失败,是国内环境无法用吗?

    C:\Cloudflared>cloudflared-windows-amd64.exe tunnel list
    REST request failed: Get "https://api.cloudflare.com/client/v4/accounts/ACCOUNDID/cfd_tunnel?is_deleted=false": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2596 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 15:24 · PVG 23:24 · LAX 07:24 · JFK 10:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.