菜单开关

周梦康 发表于 2022-05-04 359 次浏览

有群友问题,可以不对外显示服务器 IP 可以实现吗?

现在咱们 CURD 的时候,很容易忽略一些基础知识的学习和理解,特别是在高级语言和 web 框架的生态之中。

首先这里服务器 IP 不是 HTTP 协议里面 header 里面返回的,所以不会是 web 服务器显性输出返回的,浏览器在对域名做 DNS 解析之后得到的 IP。有了 IP 地址和端口号客户端才能与服务端建立 socket 连接。

所以这是一个伪命题,只能对服务器做安全加固。简单点,如果是单机,比如设置防火墙,只对外开放 80 端口;复杂点,选用负载均衡服务的云产品不对外暴露内网应用服务器 ip。

不管怎样,浏览器上都会显示一个服务端的 ip 这个实事是不能改的。

最近各个社交平台都要显示 IP 真的有效吗?

最近微博、公众号、抖音都会显示发布者的客户端 IP 地址。我在想如果是为了缓解海外非法敌对势力造谣诽谤,这个有效吗,抛开实际场景而谈,显示的 IP 地址是不可信的,因为可以通过代理服务器来隐藏自己的设置 IP。

但是看了下面的图之后我觉得还是很有效果的,因为谣言一般都是第一人称视角来说的,具有很强的地域属性。

聊聊最近遇到的几个 IP 相关的话题

显示 IP 之后,拦截了 80% 的普通网络造谣者,如果上图想模拟上海人发言,他需要购买个上海机房的 ip 服务器做正向代理服务器,然后自己通过代理服务器来访问中国境内各个自媒体或者社交平台,如果要精准制造某个地域的谣言,成本就高了很多。

遇到网站被人镜像了,怎么办?

前段时间发现有个项目被人镜像了。也就是别人对我们的域名配置了正向代理,这个我们其实很难察觉。很大一部分原因,是因为原来全站的cdn资源没有设置 referer 校验,大大降低了别人镜像的成本。

那发现以后怎么处理呢?我搞了三个步骤:

  • 对静态资源增加了 referer 白名单配置,镜像站上的图全裂了,后面应该不会有其他人来镜像了
  • 在全局 js 里增加了当前域名里做了判断,如果是非法域名跳转到源站
  • 对来源 ip 做封禁,展开说说

我最开始直接根据 case 1 里面通过浏览器里拿到的 ip 进行了封禁是不行的。现在很多应用对外提供的 ip (统一接入层)和其访问公网的 ip (出口 IP)是不一样的。所以需要通过在访问镜像站的时候增加一些标记值 ,比如

https://mengkang.net/?f=sfsfdsfsfsfsfsf

然后通过一定时间的轮训访问,然后再到我们的后端服务器上通过对参数sfsfdsfsfsfsfsf过滤找到客户端 ip 池,然后进行封禁

👇 下面是我的公众号,高质量的博文我会第一时间同步到公众号,给个关注吧!

评论列表