如何保证网站不被爆破(基于旧文的批判和补充)

原文是新品葱刚开站时,某匿名用户的回答,大体准确,但是表述有一些漏洞,在此我做一些补充。

建网站时,暴露信息的地方多了,以下列出暴露的方式和防范方法:
网站的联系方式:留 QQ 的、微信的、国内邮箱的纯粹是找死。国外联系邮箱(如 ProtonMail)可以有,但是最好设置拒收国内邮箱的邮件,否则邮件头会泄露信息。对了,自动显示外部图片的功能一定要关掉

不仅邮件头泄露信息,而且双方的隐私也会泄露。如果A使用墙内邮箱发信给B,A发的内容就已经泄露,如果B回复,B发的内容也会泄露,所以要拒收墙内邮箱的信件,防止不小心回复。

WHOIS 记录:不开 WHOIS 信息保护还留下真实手机号码、地址的也是秒查

可以使用操作系统自带的whois工具查看,使用方法是:
whois <网站裸域名>

比如www.example.com,裸域名为example.com。
如果你的操作系统没有whois工具,可以上网搜索whois,在线查看。

使用国内域名注册商或解析服务的,注册人的信息哪个查不到?

完全同意。

服务器一定要在国外,如果是 VPS 不要用国内银行卡、微信、支付宝等,最好支持虚拟币支付,比如比特币,最好通过国外大交易所或 OTC 购买,如果你用的是比特币钱包软件,汇款的时候一定要开代理,要不然照样查出来

比特币也不是完全匿名的,理论上可以跟踪交易找人,但是用国外大交易所或走OTC可以降低风险。如果还是不放心,有个方法可以大幅提高匿名性:
法币交易所(实名)--->BTC--->BTC钱包--->匿名币币交易所--->XMR(门罗币)--->多转几个钱包--->匿名币币交易所--->BTC--->对方

匿名的关键在XMR转别的钱包的过程,因为XMR转给别人的时候虽然存在区块链上,但是加密了,不是透明的。还有,访问匿名币币交易所的时候【一定要】走Tor,访问实名的法币交易所【一定不能】用Tor。

源站 IP 地址:一定要保密,一定要使用抗 DDoS 的国外 CDN 比如 Cloudflare 之类,查不出 IP 地址就没有办法用 SSH 连你的服务器,没法联系你的提供商关闭服务器,也没法 DDoS

必须确保网站上没有诸如儿童色情之类的违法内容(广义上的,不是天朝特色违法),否则还是可以举报。

全网扫描 80、443 端口,扫描你的服务器源站 IP 地址(IPv4 完全没问题,IPv6 比较困难):可以利用 Apache/Nginx 的虚拟主机(Virtual Host)功能,不仅需要你的服务器 IP,还需要 HTTP 的 Host 字段匹配,你才能看到内容,否则看到的是 HTTP 错误页面。但这方法不是 100% 靠谱,万一扫描的时候带上 Host 字段怎么办?虽然特征很明显,不知会给多少别的服务器留下日志

有专人通过各种漏洞和错误配置的服务器找出藏在CDN后面的源站IP,建议看看此文

如果你可以用防火墙,就在源站服务器上设置非 CDN 的 IP 禁止访问 80、443 端口。一般你用的 CDN 有一个使用的 IP 列表,比如 Cloudflare 的在这里,这样就能彻底杜绝全网扫描 80、443 端口

可以有效防御源站IP泄露。建议使用IP层(OSI第三层)上的防火墙。如果用的是iptables,过滤策略请用DROP而不是REJECT。

如果肉身在国内,一定要通过代理连接 SSH 管理服务器,防止通过流量分析的方法被查出来。还有,SSH 虽然是保密的,但是一些弱智的配置错误(允许 SSHv1,使用弱密码、弱加密算法等)能让你前功尽弃,加固方法见此。如果可以,SSH 服务端设置监听非 22 端口,最好不要包含 22 这个数字,防止被全网扫描

通过代理=翻墙,必须保证是没有监控的梯子,最好的是Tor,但是延迟太长,建议自行把握。

确保网站代码没有低级漏洞,比如 XSS,Get shell,SQL 入侵等等,而且最好添加一些 HTTP Header 加固

这是针对网页内容的,养成良好的习惯,确保代码没有漏洞,具体就不好说了,变数太多。

人的方面也很重要,不要说漏了嘴,即使人在国外也不能掉以轻心。确保操作的电脑无病毒木马,操作系统、软件的安全更新要定期检查,该打的补丁一个也不能少。能不用 Windows 就不用 Windows,漏洞多得像筛子一样

无论是用户的操作系统和服务器的操作系统,都建议使用【保守型】,并且勤打安全补丁,如果能设置自动更新更好。

如果组队建网站,最好只通过邮件联系,少用即时通讯软件(Telegram,Signal 需要你的手机号,也不行),最好开二步验证,使用 PGP 加密邮件。SSH 尽量用公钥登录,禁止密码登录

赞同。SSH服务端要设置禁止密码登录,而不仅仅是不使用密码登录。

以下是补充:
  • 网站尽量少搜集用户信息,尤其是墙内联系方式,防止有用户被查水表而导致整个网站不得不关闭
  • 网站访问日志可以有,但一定要匿名化,而且要定期删除
  • 如果有onion站点,不能和源站(明网)使用同一台服务器
3
分享 2019-10-22

5 个评论

1. 有些邮件服务器的邮件头会带ip等私人信息
2. whois可以隐藏,但是也可以蓝金黄中间商拿(Godaddy, NameCheap...)
1. 已改,反正拒收就对了
2. whois信息瞎掰一个就行了,不过不要被发现
就怕人傻买地址时用了,或买cloudfare时
全用比特币,地址填别人的
cloudflare貌似不支持比特币

要发言请先登录注册

要发言请先登录注册

发起人

记住【反华不反共,反共不反习】。少割席,多做事。构建共识,形成组织。打倒共产党,建立新中国!

状态

  • 最新活动: 2019-10-22
  • 浏览: 2245