黑客实施入侵,一般都会先使用入侵工具扫描网站漏洞和服务器漏洞,寻找入侵点,再逐步入侵。如果能隐藏服务器IP和域名,岂不是黑客就没法扫描漏洞,也就没法进一步入侵了?
想象是美好的,现实是残酷的。域名肯定没法隐藏啦,不然用户也无法访问了。不过服务器IP倒可以隐藏。黑客找不到服务器IP,就没法远程登录服务器,也无法对服务器远程桌面实施暴力破解攻击、没法扫描服务器漏洞,对安全防护能力有一定提升。那么如何隐藏服务器IP呢?
黑客一般都是通过ping域名找出服务器IP,因此要隐藏服务器IP,需要从域名入手,让黑客没法ping出服务器IP。比较常见的做法有三种。
一、 使用CDN隐藏服务器IP
使用CDN,需要将域名解析至CDN服务商的别名地址。Ping域名获得的IP将是CDN节点的IP地址,这样就隐藏了服务器IP。大型的CDN厂商,都有专业的安全团队保障服务器安全,无需担心黑客先入侵CDN服务器,再进一步入侵你的服务器。
推荐的CDN服务商:七牛云、阿里云、腾讯云、百度云。
二、 使用云存储隐藏服务器IP
此方法只适合用户访问的是纯静态页面的网站。使用分发软件(例如《护卫神.好备份系统》),将静态文件(HTML/CSS/JS/图片/字体等),自动分发到云存储(对象存储),再将域名解析至云存储别名地址。此时Ping出来的IP是云存储的IP地址,也就隐藏了服务器IP。这种方式甚至可以将源服务器放置于本地ADSL宽带网络,无需固定IP地址,黑客更无法找到服务器真实IP。
推荐的云存储服务商:七牛云、阿里云、腾讯云、百度云。
三、 使用反向代理隐藏服务器IP
反向代理和CDN原理是一样的。反向代理服务器位于客户端和服务器之间,充当中间人的角色,客户端访问网站时,首先连接到反向代理服务器,再由反向代理服务器将请求转发给真实的服务器。这样,客户端只能看到反向代理服务器的IP地址,而无法获取真实服务器的IP地址。
需要注意,自己搭建的反向代理服务器,也必须做好反向代理服务器的安全防护,防止黑客先入侵反向代理服务器,再进一步入侵源服务器。
上述三种方法就隐藏了服务器IP,但此时黑客真的无法获得服务器真实IP了吗?
不好意思,答案是否定的。黑客还有其他方法获得服务器IP,以下常见方法都可以获得服务器真实IP。
一、 通过在线邮件获得服务器IP
这种方法主要针对于有在线邮件通知的网站,例如邮件验证。
在网站发送邮件给用户时,系统会自动携带服务器IP地址。分析邮件头信息就能找到服务器IP(如下图一)。箭头指向的IP就是服务器真实IP。
(图一:邮件原文获取服务器真实IP)
如果要在线发送邮件,建议使用专用服务器发送邮件,不在源服务器上调用SMTP协议直接发送。
二、 通过网站漏洞获得服务器IP
有些程序自带显示服务器源IP的功能,黑客突破漏洞后就可以轻松获得真实IP。即使网站没有此功能,黑客入侵网站后也可以自己上传webshell来获取真实IP,如下图二,此webshell直接显示服务器IP。
(图二:Webshell暴漏服务器真实IP)
建议对网站做好防篡改保护,阻止黑客上传Webshell。可以使用《护卫神.防入侵系统》,内置国内大部分CMS系统的防篡改保护策略,一键开启篡改防护功能,让黑客没法上传Webshell(拦截效果如下图三),同时其自带webshell查杀引擎,查杀率高达99%。
(图三:护卫神.防入侵系统拦截Webshell效果)
三、 通过配置不当获得服务器IP
有些服务器配置不当,会在HTTP头信息或CDN错误提示信息处暴露服务器真实IP,不过出现此类问题的几率非常低,建议使用大型服务商的CDN服务。
防黑客入侵,是和黑客斗智斗勇的过程,一个小小的漏洞就可能引发严重的安全事件,需要做好全面的安全防护策略,方能保障服务器和网站安全!
有经济条件的用户,可以考虑再使用VPN(虚拟专用网络),日常管理服务器只能走VPN网络访问。如果不想花费太多成本来解决安全问题,可以使用《护卫神.防入侵系统》,其自带海量恶意IP库(大部分都是扫描肉机IP),在黑客扫描时就立即拦截,让黑客没法实施下一步入侵。同时对远程桌面登录也有很强的防护能力(如下图四),可确保黑客无法暴力破解远程桌面。如下图所示,只允许成都地区用户远程桌面登录,很显然,黑客和你同所城市的几率几乎为零,同时自带防暴力破解的功能。
(图四:护卫神.防入侵系统远程桌面防护功能)