360网站卫士于安全无用

看上了360网站卫士和加速乐这两款CDN,申请使用时被保安打了出来,因为没有备案不让用。

我这么小心眼,怎么可以不报复他。今天就分析一下所谓的网站卫士到底能不能起到安全作用。

加速乐不说了,毕竟其主打的还是CDN加速,实在。说说360,你CDN就CDN,非得拿安全做噱头,起个山炮名叫网站卫士。其实CDN和反向代理本身就能起到一定的安全防护作用,最大的作用就是能起到一定的防DDOS作用。360的文案说的就好像是它创新了一样。

至于防跨站防注入,其实就是在CDN那层过滤一下用户请求,将危险字符过滤掉。防挂马功能和普通的挂马检测一样,按特征码抓贼的。360网站卫士除了那200G很唬人外,其它功能毫无新意。

那用了360网站卫士就不会被入侵不会被DDOS了么?真相是再脑残的黑客也懂得绕过CDN直接日网站的服务器。DDOS的话找到网站真实IP,D就行了。入侵的话找到真实ip,不让IP直接访问就本地host绑定目标域名,网站卫士就等于不存在了。

找真实IP的方法很多,总有一招是有用的。对于多层架构的CDN来说,常见的tracert等方法是找不到真实ip的。

www法

以前我用CDN的时候有个习惯,只让WWW域名使用cdn,秃域名不适用,为的是在维护网站时更方便,不用等cdn缓存。所以试着把目标网站的www去掉,ping一下看ip是不是变了?

二级域名法

目标站点一般不会把所有的二级域名放cdn上,比如试验性质地二级域名。Google site一下目标的域名,看有没有二级域名出现,挨个排查,确定了没使用cdn的二级域名后,本地将目标域名绑定到同ip,能访问就说明目标站与此二级域名在同一个服务器上。

不在同一服务器也可能在同C段,扫描C段所有开80端口的ip,挨个试。

如果google搜不到也不代表没有,我们拿常见的二级域名构造一个字典,猜出它的二级域名。比如mail、cache、img。

nslookup法

查询域名的NS记录,其域名记录中的MX记录,TXT记录等很有可能指向的是真实ip或同C段服务器。

工具法

这个工具http://toolbar.netcraft.com据说会记录网站的ip变化情况,通过目标网站的历史ip地址就可以找到真实ip。没亲自测试,想必不是所有的网站都能查到。

墙外法

很多国内的CDN没有节点对国外服务,国外的请求会直接指向真实ip。有人说用国外NS和或开国外VPN,但这样成功率太低了。我的方法是用国外的多节点ping工具,例如just-ping,全世界几十个节点ping目标域名,很有可能找到真实ip。

钓鱼法

不管网站怎么CDN,其向用户发的邮件一般都是从自己服务器发出来的。以wordpress为例,假如我要报复一个来我这捣乱的坏蛋,坏蛋使用了CDN,我要找到它的真实ip以便DDOS他。我的方法是在他博客上留言,再自己换个名回复自己,然后收到他的留言提醒邮件,就能知道发邮件的服务器ip了。如果他没开提醒功能,那就试试他是不是开启了注册功能,wordpress默认是用邮件方式发密码的。

思考一下,还有哪些信息是不通过CDN返回给用户的呢?

总结一下,将网站安全依赖于CDN只会让网站的安全外紧内松,脱离网站本身的安全防护都是不科学的。但360网站卫士的节点确实不少,如果想给站点加速的话,大可以尝试一下。

TAG:   
下一篇: 上一篇:

本站文章,如非注明,皆为原创。采用 《知识共享署名-非商业性使用-相同方式共享 3.0》许可协议进行许可。转载需注明本文链接并保证链接可用。本站法律顾问:龚婉容律师

  1. 表示不用CDN — 针对钓鱼法以及nslookup法,表示使用的是godaddy赠送的邮箱服务器,wordpress还有个插件WP-Mail-SMTP是通过smtp的方法发送邮件的,未必能试出真的域名

  2. 我现在就用的 360 网站卫士,觉得加速效果还算理想。比加速乐好点点、加速乐很多地方访问不了,特别是国外的 。。。

    话说博主不是没有备案么?怎么用网站卫士的?

Back to top
逗妇鲁公众号
逗妇鲁公众号