网站一般是直接解析到自己的服务器上面,有的网站为了安全,会套一层CDN或套一层服务器反向代理,这样可以在解析的时候隐藏源站IP,就算攻击或者其他的渗透,也不会直接打在自己的源服务器上,不过很多网站是使用宝塔面板建站的,如果是默认设置的话,其实还可以通过全网扫描来找到你的源站IP地址,暴露源站IP的危害我就不多说了。
模拟这个扫描过程也非常简单,直接访问你源站IP地址,如果没有做任何屏蔽设置,宝塔面板会返回第一个添加的网站,如果你服务器上面只有一个网站,那肯定就是你真实的网站了,如果你开启了HTTPS访问和跳转,还会返回证书,证书里面就包含域名,通过证书的域名可以知道这个IP上面放了什么网站。
有的机房为了安全,屏蔽了IP访问,不过你可以自己手动试试通过https协议来访问IP,看是否会返回内容,不过据我的经验,大部分机房封的都是80端口的IP访问,443端口是不封的,所以依旧可以通过全网扫描的方式找到你网站的真实IP地址,如果你的网站已经备案了,那就更容易被扫到了,因为备案是要接入的,比如你接入了阿里云的备案,那肯定用的是阿里云的服务器,需要扫描的IP段就更少了。
怎么屏蔽扫描?很简单,我前面说了,宝塔会返回第一个添加的网站,你可以随便添加一个网站再添加真实的网站,也可以添加一个网站再设置成默认站点,比如小哲我添加的是baidu,域名是什么不重要,是不是你的也不重要,随便添加,反正也不打算让这个网站成功返回内容,仅仅是用于屏蔽的,添加后把这个网站设置成默认网站就行了,这样通过IP访问的时候,会返回这个网站的内容。
如果你真实的网站开启了HTTPS,那这个默认的傀儡网站也需要添加HTTPS证书,随便一张证书就行,哪怕是过期了的证书,哪怕是跟你添加的域名不一样的证书,都无所谓,因为这个网站仅仅是用来做屏蔽扫描的,返回错误内容不会影响到你的真实网站。
如果不想返回任何的内容,也可以修改默认网站的配置文件,添加一行return 444;的配置,这样别人直接访问IP的时候不会返回任何内容,直接断开链接,修改配置如下图所示:
