站长前言

• 希望看到此文的博主及时修复这些隐患。

DNS 相关

• DNS 历史解析记录
  如果目标网站曾直接解析过源站，可以提供一些记录DNS历史记录的工具找到源站地址。

预防方法：更换IP后不要再把域名直接解析到服务器上，可接入一层CDN之类的产品。

• 子站扫描
  有些CDN限制接入数量，可能子站就没接入CDN,可以通过扫描二级域名来寻找子站的源站地址，大概率也是主站的源站地址。

预防方法：把子站也接入CDN，哪怕是CloudFlare之类的。

CDN 相关

• CDN 解析源站
  有些CDN在流量包用完时，会解析源站，把量刷完后，可用逼迫其解析源站。

预防方法: 使用不限量的CDN，例如CloudFlare。或者CDN设置达量停止解析。

源站 相关

• 软件漏洞
  例如博客程序的评论回复邮件，在邮件里很容易泄露源站IP。

预防方法：停用此类插件，发送邮件可以单独准备一台邮件服务器用于发送邮件。或者使用类似的互联网服务，例如阿里邮箱，邮件推送等。

• 全网扫描
  如果目标服务器有套CDN，你可以使用一些全网扫描的工具，全网IPV4地址扫描。如果某个服务器的SSL证书是有效的，且是你要扫描的域名的，那么这台服务器就是此域名的源站服务器。你可以使用censys来实现全网扫描。

预防方法1：设置空证书，防止探知该服务器对应的域名。
预防方法2：设置防火墙，拒绝所有入站请求，自定义白名单放行IP，例如CDN节点IP段，搜索引擎的IP段，你自己的常用IP段。