业务配置和接入DDoS高防后,如果已经更换源站服务器的IP地址,仍然存在攻击绕过DDoS高防直接攻击源站的情况,说明源站IP地址仍然暴露。更换源站服务器的IP地址前,需要先消除了可能暴露源站IP的因素,避免源站IP更换后再次暴露。建议从以下方面进行排查:
- 源站服务器上存在木马后门,攻击者可以通过木马主动外联获得源站IP,建议使用云安全中心检查和修复。
- 源站服务器上存在没有接入DDoS高防的其他服务,攻击者通过解析这些服务,获得源站IP。建议检查网站域名的DNS解析记录,确认没有任何记录直接解析到源站服务器的IP地址。
- 存在网站源码信息泄露,例如,源站程序崩溃报错可能打印源站IP地址,或者指令中可能包含IP地址。
- 源站业务存在可利用的漏洞,攻击者通过入侵源站,获得源站IP。建议接入WAF,对网站或者APP的业务流量进行恶意特征识别及防护,避免网站服务器被恶意入侵。
