最近，主機(jī)幫接了一位客戶接入百度云防護(hù)，服務(wù)器更換了新IP，用了百度云防護(hù)CDN隱藏起來，結(jié)果沒兩天服務(wù)器又被DDOS了。

主機(jī)幫在確認(rèn)新?lián)Q的IP沒有使用過后，域名也沒有解析暴露過IP的情況下，我們通過censys查詢域名，發(fā)現(xiàn)居然可以輕松的查到源服務(wù)器IP。

原來是客戶的源服務(wù)器在部署SSL證書的時(shí)候泄漏了源服務(wù)器IP，在某些情況下，服務(wù)器IP如果沒有部署SSL證書的話，會默認(rèn)把服務(wù)器的第一個(gè)網(wǎng)站的SSL證書部署到IP上，這個(gè)時(shí)候用HTTPS訪問服務(wù)器IP，就會暴露出這個(gè)IP綁定了哪個(gè)域名。

而censys就是利用了這個(gè)原理，來反查域名源服務(wù)器IP，一般來說如果沒有做特殊設(shè)置的話，基本都是一查一個(gè)準(zhǔn)。

考慮到客戶不懂設(shè)置SSL，我們直接讓客戶把源服務(wù)器的SSL都下了，然后通過百度云防護(hù)HTTPS轉(zhuǎn)發(fā)HTTP即可實(shí)現(xiàn)SSL部署效果，這樣設(shè)置類似于百度云加速以前的半程加密。

成功部署后，果然查不到最新?lián)Q的IP了。

以前的寶塔面板后臺沒有部署SSL的時(shí)候，就會出現(xiàn)CDN暴露IP的情況，目前寶塔都是可以設(shè)置SSL了，安全多了。