更新时间:2026-07-01 GMT+08:00
源站IP暴露的解决方法
业务接入DDoS高防后,如果源站IP仍被DDoS攻击,可能表明您的源站IP已经暴露。
为防止攻击者绕过DDoS高防直接攻击您的源站IP,建议您对暴露的可能因素进行排查,并更换新的源站IP。
源站IP暴露的典型原因
- 未接入DDoS高防时,源站IP受到过黑客攻击,说明源站IP已经暴露。
- 接入DDoS高防后,部分攻击者会记录源站域名使用过的IP,存在绕过高防直接攻击源站IP的情况,建议更换源站IP。
图1 源站IP暴露典型原因
解决方案
源站IP暴露后,建议排查暴露原因并更换源站IP。
排查暴露原因
- DNS解析检查:检查该遭到攻击的旧源站IP上所有DNS解析记录,确保域名全部解析到高防cname或高防IP,避免部分解析记录直接解析成新更换的源站IP。
- 漏洞检查:检查网站或业务系统是否存在命令执行类漏洞或信息泄露的漏洞,如phpinfo()泄露、GitHub信息泄露等。
更换源站IP
- 建议不使用与旧源站IP相同或相近网段的IP作为新的源站IP,避免攻击者对C段或相近网段进行猜测和扫描。
- 建议提前准备一个备份IP,以EIP为例,具体操作请参考获取EIP。
以ELB为例,通过新增弹性公网IP(Elastic IP,简称EIP),将已暴露的EIP更换为未暴露的EIP,实现修改源站IP的目的。
- 登录EIP服务控制台。
- 在EIP列表,查看已暴露的源站IP所属的实例(如elb-123)。
- 单击实例名称,进入ELB基本信息页。
- 在“弹性IP地址”区域,单击“绑定弹性公网IP”,为ELB绑定准备的备用IP。
当提示“弹性公网IP地址xxx.xx.xx.xx绑定弹性云服务器成功”,表示EIP绑定成功。
- 登录AAD服务控制台。
- 在左侧导航栏,选择。
- 筛选出已暴露的源站IP,单击“编辑”,进入源站IP修改页面。 图2 修改源站IP
- 将已暴露的源站IP修改为4中新增的备选IP,单击“确定”。
- 登录EIP服务控制台。
- 在左侧导航树,选择“我的EIP”。
- 在已暴露的EIP所在行的“操作”列,单击“解绑”。
- 在弹窗中确认信息无误后,单击“是”。
当提示“弹性公网IP地址xxx.xx.xx.xx解绑成功”,表示EIP解绑成功。
加固源站服务器
更换源站IP后,建议您参考接入DDoS高防后的防护建议优化安全配置,降低源站IP暴露风险。
父主题: DDoS高防最佳实践