TIPS
1-如果你的服务器要搭建多个网站,一定要设置不同的数据库表前缀,不然如果再使用Redis的话,会导致数据错乱。
2-运维的防御和优化都是专门各方面细致的优化,不能被木桶效应。术业有专攻,建立去问大佬,不要自己瞎搞,事半功倍。
域名
如果你要成立一个品牌或者公司,要像注册商标一样,提前抢注你心仪的域名,否则就得出高价从他人那里购买。
如果心仪域名已经在别人手里,又不想出高价购买,可以看此域名主人会不会到期不续费,在此域名过期60-75天的时候,可以提前去西部数码或阿里云等平台预约抢注。
域名是由国际组织ICANN定义,分配和管理的,最初属于美国的资产及管理权,后来在各国的反响下独立出来一个国际组织,中立的非盈利性机构专门来策划、分配、管理互联网。因此,所有域名均由ICANN负责管理和分配,但国家地区类域名,如我们国家的CN后缀,一般都是ICANN授权当地机构进行统一管理和分配。
2015年初,360公司以1亿人民币的价格从美国运营商Vodafone手中买下了360.com这个国际顶级域名,创造了当时全球域名交易的纪录。
2014年4月,小米公司以360万美元(约合人民币2240万)的价格购得了mi.com这个域名,成为当年中国交易最高的域名。
2014年,京东公司以3000万美元(约合人民币1.95亿元)的价格购买了jd.com这个两字母短域名。在此之前,京东一直使用360buy.com这个与其品牌无关且容易与360公司混淆的域名。jd.com不仅简洁明了,也提升了京东公司的品牌价值和流量效率。
X.com是一个非常有价值的单字母域名,它曾经属于马斯克的第一家创业公司X.com,后来被Paypal收购。2017年,马斯克以高价从Paypal手中买回了这个域名,但是一直没有启用。最近,马斯克把twitter.com换成了X.com。
1-正常注册的COM域名,在2023年,每年费用为70左右。当我的网站知名度上升后,续费域名会涨价吗?
域名价格标准是域名注册局规定的,各大平台如腾讯,阿里,godaddy只是帮你”代注册”,价格浮动与域名注册局标准价格相差不大。
因为你的域名实际上是从域名管理局买的,不是从代理商那里买的,管理局有费用标准不会乱涨价。
所以即使代理商涨价,换个代理商平台即可。
所以也不会存在域名知名度高后,续费价格上涨的问题,不然全乱套了。平时涨价也是所有域名稍作调整,最多贵个十多块钱。
2-网站为什么要icp备案?
备案是国际工信部互联网安全等机构指定的,为了防止一些人用网站进行非法活动,当网站备案后,就能找到相关负责人。
域名绑定国内服务器都需要进行域名备案后,服务器才能使用,这是国家要求所有国内服务器厂商做的限制。(否则有人非法活动,又是国内服务器厂商提供的服务,厂商就要担责,所以厂商需要确定你的网站已经备案,这样就是备案人担责)
如果你用国外服务器或者香港服务器,国外服务器厂商不受我国要求限制,就不需要备案即可将服务器绑定域名。(国内有可能将此服务器IP拉入黑名单,导致国内用户无法访问,所以一般买香港的)
TIP1:当域名不再使用,需要及时去注销备案。因为管局不会每天去审核谁的网站还有没有运营,只会定期抽查,如果你的域名到期后被别人注册,进行了非法活动,那么出事了,备案人还是你。
TIP2:COM域名你去godaddy等平台都不需要实名认证就可以购买和解析,但是CN域名就算是在国外平台注册也得实名认证的。
TIP3:其实国内服务器还可以绕备案,教程百度即可,但是一个规矩是不允许的,你去钻漏洞即使成功了,也是违规的,后续使用也很容易遇到问题,不如买个香港云。
TIP4:如果你是国内服务器,要icp备案,用的哪个平台的服务器就去哪个平台备案,和域名所在平台没关系。
TIP5:icp备案是不分交互式的(公安备案才分交互式),但是分个人备案和企业备案,个人备案是不能盈利的,大部分省份也是不允许交互的(如用户注册登入和发评论)。(走香港云自然就不需要icp备案了,但还是需要公安备)
TIP6:公安备案的交互式,基本上需要线下去网安大队审核,非交互式一般线上就行了。(其实没那么多人管这些,别说申请交互式了,很多人根本没有公安备案,照样开评论等交互式功能,都没事,不过想要网站长期运营,还是按流程来比较好。也看你对业务的把控,你是正能量的东西没有公安备一般也不会处罚你,最多叫你注意然后完善备案。否则还是避免用cn域名,选择用com等域名,走香港云或者国外服务器,根本不需要备案,怎么盈利那就看你自己了)
TIP7:无论是icp管局备还是公安备案,备案地址一般选主体(你自己)身份证上的地址,因为大部分省份只受理本地备案或者有当地居住证的人才可以。
TIP8:cn域名也可以用境外服务器的。但是用境外服务器虽然不用icp备案,但是没有这个备案的网站,搜索引擎的SEO对其一般不友好。
TIP9:域名icp备案的时候,网站名称记得想好,后续网站title必须包含备案网站名称(一般也没人管,但是后续同一个主体增加备案的时候,会审核以往所有网站,这个时候以往备案的网站title必须包含当初备案时网站名称)
icp备案后,会提醒一个月内继续公安备,但是公安备基本没人查,有时年把的,网安大队的上面可能才下发所有域名名单给你当地网安大队,工作人员就一个一个核实,没备案的就给你打电话,你这个时候再备案就行。当然提前备案好最佳
总而言之言而总之,有两个备案
icp管局备案:你用国内服务器就必须要备案,用国外服务器就不需要备案。然后个人备案的icp管局备案大部分省份不允许网站进行交互(注册登入和评论等操作)
公安备案:无论用不用国内服务器都要求备案,要求是开站icp备案下来30天内进行公安备案,否则可以给予警告或关站整改。但是不严,大部分网站没有公安备案过。在这里申请交互式基本上也需要线下。
两个备案互不联系职能不同:如果管局备案是个人备案,理论是不允许交互的,然而公安备案我申请交互式又通过了,但如果我的网站交互,被管局发现,即使公安备案了交互式,也和管局不相干,可能也会警告要求取消交互。
用海外服务器:不需要管局备案,但同样要进行公安备案,但上文说了,要求不严格,很多人没备案过。看个人吧,比如你godday注册的com域名,又是海外服务器,都无法判断你是国内站点,你是否公安备就看自觉性了。cn域名的话,找你了再备案呗。
看似很繁琐,其实也没那么离谱,只要你不是h,d,d和骗人,提供一些服务,按不了你的head,最多整改罚款。
3-如何icp备案?
企业备案需要营业执照,法人身份证信息等,在企业地址拍视频核验,具体问备案平台即可。
个人备案:在腾讯云平台,填入自己的信息,身份证照片,人脸识别验证,根据要求填入网站相关信息即可。
注意:腾讯云备案页面附件需要提交一份网站建设计划书(图片),还需要本人电子签名(涂鸦前上去就行,或者打印出来拍照);此外还需要把网站建设计划书(word或pdf)通过邮箱发给管局。
注意:一定要备注准确方案书通过邮箱发送给管局的时间,不然管局找不到邮件,就会说你没发网站建设书,白等一个月,备案失败又得重新提交建设书再重新审核。
如果不急,有细节错误都没关系,直接提交备案即可,有问题腾讯人员会打电话给你辅助备案(一天内就会打电话,效率挺高的),腾讯审核通过后才会提交管局审核。
如下word模板:仅供参考,根据你的网站内容简单书写即可。
*新增网站组网方案与解释说明*
一、 *网站服务内容介绍*
当前域名jinnianx.com是具有做信息存放与技术分享等功能。
1、内容介绍:
网站当前主要记录生活与分享资讯的个人网站;用户通过浏览器打开jinnianx.com,可以访问到我的网站,可以按照自己的需求选择对应的栏目,再选择需要打开的链接。
2、域名用途:
jinnianx.com方便用户找寻网站,可以直接打开浏览器,输入我的网址就可以打开我的网站了。
二、 *组网方案*
服务器基础设备配置:
腾讯云轻量应用服务器/ 空间:80G / CPU:4核/ 内存:4G
服务器使用技术及部署情况:
服务器系统程序:CentOS 64位(安全加固)
WEB服务器程序:NGINX + MySQL
*三、网络安全与信息安全管理制度*
(1)负责服务器的日常维护、技术支持,并对服务器的功能提出意见、建议和方案等。
(2)妥善保管好服务器登录密码,不得告诉他人,有事外出或下班时,要及时退出设置项界面。
(3)加强服务器检查。定期对数据存放硬盘空间、CPU使用、内存空间等环境进行检查。发现硬盘存储
空间、CPU异常、内存异常等问题要及时处理,不能及时处理时应向空间商反映,并积极采取措施尽快解
决。
(4)加强服务器的病毒防范。要经常了解和掌握网络病毒的流行情况及其解决方案,并积极采取应对措施。
施,避免对服务器及网络内其它终端的感染。一旦被感染,要及时提出杀毒方案,控制传播范围。定期对
各服务器进行查毒、杀毒。
(5)保障本系统的实时安全运行,负责每天的信息数据备份。
(6)负责对服务器中文件的增加、删除及权限变更工作,严禁无关人员登录服务器。
*四、承诺*
承诺如发现主体信息有误、网站实际开办内容与备案信息不一致、域名有交易行为、网站内容涉及九不准等违法违规问题,接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚
(这里写个电子签名或者手写签名)
日期:2088年8月8日
网站负责人:zdq
4-网站更换服务器,需要重新icp备案吗?
国内域名更换服务器,是同平台服务器,如域名和服务器都是腾讯旗下购买的,更换备案信息的服务器ip即可,不需要重新备案;(因为你其实已经备案了,就换个服务器ip,后续腾讯提交一下新ip信息给管局即可)
更换为另一个平台服务器如阿里云,也不需要重新备案,进行接入备案即可,然后阿里云平台会将修改后的备案信息提交给管局一次,让管局也知道服务器IP变了,服务器提供商变了。(让新的服务器提供商知道你的域名备案了,然后平台再向管局更新信息)
5-网站在管局icp备案通过后,按理说需要在一个月内进行公安备案(审核一般3-5天),不过这玩意说是一个月内需要公安备案,但是很多站点都没备案的,应该不强制,当然和当地政策有关,但是没接到当地网警大队电话的话,可以先不管。
公安备案在信息变更后,如服务器IP变更等,最好也尽早在公安备平台进行信息更新。
tips:
我们公安备案的一般是非交互式,也就是没有用户的注册登入的,如果要有让大众注册登入的交互功能,备案就需要选交互式。(icp备案是不分交互式的,但是icp个人备案大部分省份默认也是不能交互的,也就是不能让用户注册和发评论等操作)
区别:
非交互式:如上内容线上申请一下,等工信局通过就行了。
交互式:不同地区可能不同,大部分地方线上申请后还需要线下面审,但基本上就是确定主体人,然后和你说一些注意事项。(个人为主体就去户籍所在地精确到县,公司为主体就去公司注册地)
备案问题
1-备案服务器ip变更了。
某些情况,当备案的ip和实际网站使用的IP不同(比如自己的备案厂商的服务器过期,然后用了朋友的服务器,或者其他小厂的服务器),服务商可能会发现,并打电话给我们。
我们可以说网站使用了cdn,源服务器还是用的原先备案平台的(如原先服务器是腾讯云,即备案也肯定在腾讯云)即可,一般就没事了。
如果他还要你提供源服务器ip,你报你的源服务器即可,如果原先的服务器过期了,你报一个同平台的服务器就行了(因为同平台换服务器,服务器变更不强制修改备案ip信息)。如果原服务器又过期,你在平台又没有服务器资源,那就只能买个原服务器厂商的便宜的能备案的服务(函数包或者最便宜的服务器),然后用此服务挂载一个网站的子域名的单页即可(前缀单页,比如让a.xxx.com解析到一个页面即可,也可以放一些源站文件到这个不用的服务器伪装一下),然后把ip报给他。实际上你还是用的服务商平台外的服务器为网站提供服务。
注意:千万不要买备案服务商外的服务器(因为服务器在哪,你就得在哪备案,你腾讯云备案的,后续ip换成阿里云的,就要在阿里云接入原先腾讯云的备案,麻烦一点,如果你再买个腾讯云的便宜服务器,挂个单页就行,什么都不用管了)。
情况一:在腾讯云备案后,自己服务器过期了,用了腾讯云之外服务器,如果有人打电话过来,直接说网站挂了cdn,所以ip显示和备案不同,如果继续问:“你服务器都过期了?怎么提供服务的?”,那没办法只能报朋友的腾讯云服务器ip(或者自己买个腾讯云最垃圾的服务器挂个单页,报这个ip)即可。
情况二:在腾讯云备案后,自己备案对应的服务器没有过期,但是性能不够用,用了小厂服务器或者朋友服务器,那只要在原备案对应服务器挂个网站的单页即可,实际服务放到其他服务器。打电话来问,就说服务商外的服务器ip都是cdn,源服务器报自己那个和备案对应的服务器ip即可。
总结:如果你有多个站点,然而备案只有腾讯云和阿里云这些大厂方便,而备案只能在服务器购买商那里备案,那么这么多站点服务,都用大厂的服务器,谁用的起?所以可以只开一个服务器(这一个是必须的,不能一个都不开,服务器都没有,怎么备案的?很明显就不符合规定了,会被撤销备案),每个域名备案都和这个服务器绑定,然后在这个服务器中运行一个和域名相关的单页就行了,不需要让这个备案服务器去做真正的服务处理。真正的处理交给那些便宜的小厂服务器。
实际上单页操作,服务商要查你,完全可以通过流量和你实际网站的运营情况判断出,你只是挂了一个单页,没有真正提供服务的,但是他们不会去管。
更换ip是否需要重新备案或者修改备案信息?
一、 更换服务商
当您的服务器从其他服务商更换为腾讯云时,您需要在腾讯云申请ICP接入备案,反之则需在对应服务商进行ICP接入备案。二、未更换服务商
当您从腾讯云服务器更换为另一个腾讯云服务器时,ICP备案有无影响取决于是否需要做经营性备案。
- 需要做经营性备案:要进行变更备案,更改备案登记的IP地址,确保经营性备案的IP与工信部登记IP一致。
- 不需要经营性备案:可以不变更备案,因为同一接入商更换IP不强制重新备案,可在需要变更其他信息的时候同时进行变更,无需单独变更。
其余一些小知识:
1-如你在腾讯云备案,你后后面换了阿里云的服务器当源站,阿里云会要求你接入备案的,否则服务器不给你提供服务,你阿里云接入备案后,腾讯云打电话给你问服务器过期了,你可以直接说用阿里云服务了。
小厂服务器可能没这要求,只要你原先备案过就行。但是这个时候,腾讯云打电话给你,说你服务器过期了,你还是得想办法维持在腾讯云的备案,比如买个轻量云挂单页,把小厂服务器说成cdn服务。
2-接入备案和申请备案一样,都要审核5-15天,但是域名首次申请是不能开站点,接入备案是必须开启站点访问。
3-操作个人备案一个域名,会审核以往备案号下所有域名是否符合要求
4-个人备案,比如你有10个网站,其实备案号一样的,只是后面有1,2,3,4.等序号区别,注销某个网站个人备案,只会注销一个网站,不会10个全部注销。
个人备案转企业备案
1-个人备案转企业备案,必须先注销再进行企业备案,备案期间网站不能访问。
备案期间网站不能访问,但是可以规避可以不开www和主域名@访问就行,子域名他们备案审核可能查不到,但是被查到会退回,然后要重新备案的,可以提前提醒用户服务暂时转移到另一个网站。
域名购买
1-购买可以去没买过东西的新平台去注册,一般com老用户七八十,新平台去注册就三十多,国内云厂商多了,都可以白嫖新用户。
2-续费可以转出域名,转出域名必须在新平台续费一年,但是这个续费一般比较便宜
服务器
买服务器,可以找便宜的,但是不能太离谱,不然肯定会被跑路,或者超开(也就是说多人公用资源,卡的很)
1-总所周知,想用国内服务器为域名提供服务,域名必须备案,但备案又很麻烦,如果你只是用此域名做一个静态网站,则可以用github的仓库代替服务器。
如zhoudongqi.cn此域名在当前2023年9月,并未备案,但我将此域名的DNS解析到github的仓库后(当然在github也需要进行一系列操作绑定并认证zhoudongqi.cn为你自己的域名,操作百度即可),这个仓库就相当于一个服务器为我的域名提供服务。
2-2021年买的腾讯云轻量级2h-4g-8m-每个月1200g流量,才200块三年,现在大厂的服务器及时搞活动也贵的了特别多。
3-一般大厂搞活动也就那些轻量云搞活动,其他服务器贵的要死,所以很多人也用的小厂服务器。
4-轻量云和普通云服务器是有区别的,轻量云的设备比较老,而且有性能限制,简单说同样配置,性能没那么好。
5-服务器和我们电脑一样,是分新老的,比如电脑的cpu的i5和i9,同样8核的话,那个性能是不同的,所以你会看到同样配置不同服务器,可能价格相差很大。
6-云服务器就是一个物理服务器机虚拟化出多个云服务器多个ip,可以给多人使用。你的站点流量高,也可以直接买物理服务器套餐,或者找机房合作买一台物理服务器让它们代运维什么的。
活动
1-大厂服务器都很贵,一般除了轻量云,其他机器都是买给企业的,一般3折拿,量大1-2折。我们还是买小厂吧,或者用轻量云。
2-大厂有那种企业认证等,比如阿里云企业认证领3500优惠券等可以关注一下。
服务器系统
1-centos纯命令占资源少,debian图形和命令都可以,ubuntu是图形界面
现在一般用debian系统,因为centos停止维护了
注意:
1-国内买的服务器除了hdd,还都不能做发卡,代收款(比如易支付等),会被封机器。、
2- 如果不是自己玩玩而已,不要买轻量云,轻量云性能比正常服务器差很多,而且遇到用户激增,不能加配置和加流量,是固定的,加配置也必须得整体上配置,不能单独加某个配置,只能套餐形的加配置,而且加配置一般没优惠价格,那么根本不划算,再者轻量云有固定流量限制,一个月流量用完没有流量包可买,只能按gb付费。
3-要买买弹性云那些能后续加带宽和硬盘和内存等配置的服务器。
tips:
1-腾讯云轻量云可以买一个ddos防护,几毛钱,一个月抵御一次100g的攻击。
2-服务器被打进黑洞了,有一个轻量ddos防护(防御几乎为0,就是用来解除封禁的),三十多,可以每个月立马解封三次。
WHOIS如何隐藏
如果你不想让别人查到当前域名的注册人,怎么办呢?
CN域名查询地址https://webwhois.cnnic.cn/WelcomeServlet
CN域名默认是开启姓名和邮箱的,就算你在注册商这里隐藏(腾讯云,阿里云等),在官网(上面链接)还是可以查到的。
解决:需要花39每年,在注册管理局层面隐藏,具体操作工单咨询域名购买平台(阿里云腾讯云等)客服即可。
COM域名
COM域名一般没有whois详细到个人姓名和邮箱。因为注册局根本没要这个信息(那怎么证明这个域名是你的?我也不清楚~)。
虽然注册局没要,但你在腾讯云或者阿里云注册的com域名也是默认实名了主体的,也证明了你是此站点的持有人,这个信息是保密的(当然你犯事了除外)
其他后缀域名
这些域名有些会显示姓名的英文,但是不会显示邮箱,具体看后缀注册管理局和注册商了。
如何联系COM后缀域名站长
有时想买一个COM域名,站长又没有给出联系方式,因为是com域名whois又查不到信息,怎么办?
可以先简单whois出当前域名注册商,再去去各大注册商(腾讯云,阿里云等)的官方whois平台,一般可以在这里联系到站长(可以通过注册商这个第三方联系,比如你在阿里云的whois告诉阿里云我要联系当前域名站长,阿里云就会发邮箱给站长:说有个人想联系你,你想和他联系吗?)
TIP:一般新注册域名无法马上转出到其他服务商,如阿里云新域名注册后60天内无法转到腾讯云或者godaddy的。
网站ICP经营许可证
这玩意就必须是公司了,而且还要相应资质,门槛高,需要三人的一个月社保证明,公司注册资金为100w等
这个和什么公安备案的交互式又不同,你说公安备案我选了支付的交互呀?
它们职责根本不同,你公安备案通过了支付交互不代表你能这样做,它只是一个备案,反而如果你备案了,没有经营许可证网站还涉及交易,还能通过备案找到你是谁。
所以一般站长就会通过码支付或者易支付或者发卡网进行站点经营
码支付:直接到账自己收款码,款项直清,但是需要搭建程序挂机监测你的账户的余额变化,收款了就回调给你的网站说支付成功了,然后让用户购买成功。也可以用那种自带检测的,也就是别人用服务器搭建好的码支付,每个月收你十多块钱,为你提供监测服务,你需要把支付宝扫码登到他的服务器上。自己搭建就需要自己买服务器和域名和买个程序授权(现在peak码支付程序很火)和维护,浪费精力。如果用别人搭建的因为服务器是他的,程序也是他的,正常来说钱是直接到你账号设置的二维码,但是原理上他是可以修改你网站收款码的,所以也得用熟人的。
缺点:是收款到个人账户,款数多了容易风控,就需要换收款二维码;需要用户扫码,手机端不方便(通过接口可以实现直接跳转支付宝转账页面,而且自动填写付款金额,但是这和传统平台收款不同,用户还是容易缺乏信任)
易支付:有资格收款的企业,帮我们代收钱,一般采取day+1的方式二清,第二天给我们,他们抽取一些费率。
易支付,用户付款可以直跳微信和支付宝,和我们平常用的软件收款没什么不同(也看情况,有的易支付只能扫码,在于你找的这个易收款的所用收款有没有h5收款权限,公司申请官方收款接口,扫码收款和h5跳到微信和支付宝内收款,和小程序收款等等都是需要分别申请的,支付宝h5申请容易,微信直跳h5收款申请较难需要公司有一定资质。)
注意:一定要找靠谱的平台,因为只要有收款接口,这种平台人人可以搭建,有的人没有收款权限,甚至又拿其他易支付的接口去套娃。很容易跑路,就把你没提现或者当天的钱吞了。
费率:一般易支付平台有的会收开户费,十块到一百块左右,外加以后微信和支付宝的每笔收款的2%-5%左右(看各易支付平台),也有的开户费高,但是不收手续费,只收他们必须支付给官方的官费。
优点:收款方式对用户来说信任度高,和我们打王者荣耀什么的充钱一样的充值方式;因为是企业收款,也不会风控,就算风控了,易支付平台也有其他收款接口,所以不用担心用着用着收款不了了。
缺点:必须要找靠谱平台(有国内备案,有公司等),否则容易跑路,记得钱必须每天提现,就算跑路也最多跑你一天的营业额,而且还可能你用户付款是正常款项是清楚钱,而你提现的时候,易支付可能给你打的款是hei钱(几率较小,你每天收那点钱一般没啥事,大了你自己也有企业官方收款了),所以必须找靠谱平台。
tips:除了个人无法申请官方收款的群体,很多公司自己可以申请官方收款接口,也用易支付,我认为大概率是为了避责避税,因为用了官方支付钱好像直接到公司对公账户,一定程度来说是需要缴税的;还有可能这些公司的收入不正规,正规的易支付一般明令禁止不正规的网站接入支付,当然也有允许的易支付代收;就比如没有icp经营许可证,万一罚款利润所得,易支付就可以隐藏这个收入利润,查也最多查到最近调查期间的流水,起先用的易支付收款获取的利润肯定查不到。
支付宝当面付:通过这个也可以实现跳转支付宝支付,支付宝官方有很多支付都需要营业执照的,当面付也需要公司企业,但是这个当面付可以不要提交营业执照申请(不是必填项),有的人就会用别人的门店信息去为自己申请当面付,但是这种方式通过率很低。
优点:是到账自己账户;可以直接h5跳到支付宝支付,和公司收款无太大区别。
缺点:这是当面付,网站是来自世界各地的支付,容易发现被风控。
虎皮椒:他们是微信商户服务商,微信设立了这个角色的存在,商户服务商可以为个人微信配置收款接口,就相当于把你拉入它的公司服务下,用于网站收款。(他们收取一定费用微信为一百左右)
他们也有支付宝支付,收88块服务费,但也是申请支付宝当面付,没什么区别。
缺点:严格来说不能h5跳转收款,只能扫码收款;通过服务商的设置和技术手段也可以h5收款,但是容易被微信查到,就不能h5收款了。而且它这种h5收款和公司的直接跳转收款页面也有些差异,但是起码比扫码付款好。
优点:直接到账自己微信,不再需要搭建什么码支付,而且起码有一个类似h5收款功能。
缺点:不是企业收款,终究是个人收款,后面肯定也有一点限制。比如笔数和金额大小等
企业官方接口支付:需要企业营业执照等,而且微信h5移动端很难申请(支付宝可以申请到h5),微信一般只能申请到扫码。
费率:有的不同,反正不到百分之1申请还要认证什么的,也得几百块。
优点:官方的,什么页面都是最合理,用户信任度高,付款方便。
缺点:可能要计税,而且公司业务要正规。
—————————————————————————————————————————————————-选择别人搭建的东西,易支付和码支付和聚合登录等等,除了要和他熟悉,还有易支付看资质有没有公司等等。还有一个重要因素:考虑他搭建系统的可用性和稳定性,比如他搭建的站点有没有防护,被ddos了怎么办?他被攻击了防不住的话,我们使用他旗下的那部分功能就也用不了了。
网上大部分说的是自身产品的延伸是不需要icp经营许可证的,比如做一个每日记录打卡软件的付费会员,这是卖的自身产品就不需要icp经营许可证。
然后很多人说有第三方用户入驻产生内容的就需要icp经营许可证,比如论坛等。
但是很多论坛也没有icp经营许可证呀?比如吾爱破解等
网上说的条款是:对于有违法所得的情况,没收违法所得,并处违法所得3倍以上5倍以下的罚款;若没有违法所得或违法所得不足5万元,则处以10万元以上100万元以下的罚款。
我认为标准是,可以用户产生平台内容,但是不能让第三方除自己外的用户现实盈利。比如淘宝那种商家入驻肯定需要icp经营许可证。
一般小的时候没人管,大了自己办一个就行(企业得100w的资质,可以不实缴,但是目前条约公司必须五年内实缴,但是五年内做不起来,基本上也可以注销了,所以没影响,还有三个员工一个月的社保,申请下来看情况一万左右包全了还是代办,自己不操心(总共费用,包含了社保))
你可以先搞个小公司,注册资金三五万的,公司账上不留钱,钱都以工资的形式发给自己等等,就算被罚款,罚的是公司,不是个人,大不了申请破产。也可以变通一下,参考其他和自己类似的网站,会员写赞助等等。
关于ICP经营许可证要不要办,我认为有两篇文章讲的不错,
1-https://bidewang.co/profitable-website-icp-permission/#contact
2-https://www.zhihu.com/question/27921429/answer/130639447?utm_psn=1816639345513340928
3-https://www.zhihu.com/question/27921429/answer/3163937752?utm_psn=1816644432860151808
第一:网站,没有第三方在上面上架商品,盈利等,是不需要许可证的。
第二:网站,没有为第三方提供信息发布平台,是不需要许可证的。
第三:依托微信小程序支付宝小程序等进行经营,不需要许可证,当然也不能违反第一第二规则。微信也会审核你的小程序业务,没有资质他们也不会通过。
根据公告,有第三方入驻的网站平台,才需要办理许可证。
- 第三方商家售卖产品(闲鱼,淘宝,京东,多商家入驻的小程序,等等)
- 第三方用户发布信息(抖音,今日头条,知乎,微博,豆瓣,天涯社区,虎扑论坛,交友小程序,相亲平台
所以做一个网站,卖自己的东西,比如网站会员,是不需要icp经营许可证的。
如果你的网站中有论坛,那可能就涉及到“第三方用户发布信息”,严格要求来说是需要icp经营许可证的。但是其中这一点也有说法,是可解释性的,比如你虽然提供了用户发布信息,但是你并没有让用户挣钱,没有像知乎那样有用户间的付费解答,没有让用户赚钱自己抽佣,也可以是不需要icp经营许可证的,或者说没有完全违反第二条,是较为轻微的。
实际情况:
除了上海,北京,西藏,新疆严格执行,其他地区一般要求放宽了。
实际中很多带论坛的网站都没有icp许可证,只要你的网站内容正能量,合规,不是hhd,一般来说是没人查的,就像地摊经济,规章是死的,人是活的,摆地摊属于不合规的无证经营,但是很多地方是不管的,因为你卖的东西没有伤天害理,而且是正常的有利于经济发展的东西,但是当你正式有店面了,就需要办理营业执照等。论坛网站只要你的内容是正能量,促进社会发展的,小的时候不会有人查,大的时候,就像你有正式店面了,网站做大了,有能力办icp经营许可证了,就需要尽快办理。
所以你没有到一定规模一般不查;查了只要你没有让用户盈利,也是轻微,只会通知关闭相关论坛服务即可,不会罚款;就算罚款也是罚的公司,你账上没钱大不了申请破产(根本就不会这样罚款,除非大人物搞你,这上下是有出入的)。
网站运维
大厂的cdn和对象存储一般是带宽无限(你可以设置,但它可以做到无限),流量收费。而有的小厂代理什么的,有那种无限流量,带宽有限的付费,怕刷流量可以用这种,不过得搞个正规的备案了的服务商,不然有风险。
1-上cdn和对象存储oss/cos等。(记得设置限制和防刷)
存储oss/cos可以设置私用访问,只允许cdn来访问,那么存储流量就不会被刷,但是cdn就遭罪了,不过cdn流量比存储的便宜一点。
2-关闭境外访问,防海外ip的ddos。(注意要在dns层面或者机房层面就禁止,服务器禁止了,cdn没禁,流量费照样起飞)
3-网站备案,备案后有人攻击你,你报警,他得进去。
参考:https://blog.anheyu.com/posts/dfb3.html
为什么禁海外ip:
1-大宽度服务器一般是国外ip
2-国外ip抓不到不好查,而国内ipddos,即使是肉鸡,也能溯源查到攻击者的几率更大。
3-我们的站点也不需要让国外访问3-将所有图片资源压缩替换为webp(可以设置不支持webp的浏览器照样显示原jpg和png(也得压缩)),一般这个功能在oss和cdn中可以设置。
4-服务器和cdn,oss等都上防盗链。
5-一定要定时备份站点!!!防止误操作或者被黑了删数据!!!
6-上redis缓存等。
站点安全
在搞站点安全前,一定需要有相关知识,不然杂七杂八的都设置,导致网站访问不了,根本无法排查是哪方面的问题。(比如必须搞清楚,什么是服务器的系统防火墙,什么是nginx/apache防火墙,什么是cdn厂商的防火墙,什么是程序软件层面的防火墙等等)
什么设置修改后台访问端口和地址;后台用户名不要与前台一致;
设置后台登入次数等限制,即使找到后台入口也爆破不开;禁止国外ip访问(dns层面(直接国外ip访问,主机地址解析到127.0.0.1),防火墙层面);
修改ssh连接端口;安装宝塔安全插件防止ssh爆破(fail2ban);隐藏服务器信息,关闭不必要的端口;
https;及时更新系统(yum -y update)和环境;定期扫描木马,不用盗版插件与代码;
禁ping等(对象是服务器,你在宝塔(也可以腾讯云直接防火墙禁ping,有很多种方式,别禁了记不得去哪可以打开)把源服务器设置了禁ping,不代表cdn也禁ping,cdn是另外的服务器);
设置域名禁止转移;宝塔的安全软件全安排上(win系统可以用安全狗);
不需要的端口就关了(比如开了https,80端口就可以关了)
宝塔将网站敏感文件路径设置为加密访问;开启域名禁止转移;设置网站和数据库定时备份任务(记得还要定时下载到本地)等等这些都基操。
windows吃性能,而且没有Linux安全,虽然是可视化界面简单,不过一般选用Linux
渗透
被渗透了黑客会干什么?
一般就是拿你数据库权限,拿数据和挂马。
所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day,等各种方法获得网站管理员账号,然后登录网站后台,通过数据库“备份/恢复”或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当用户访问被加入恶意代码的页面时,用户就会自动的访问被转向的地址或者下载木马病毒。
措施:
1-网站没有太大的业务价值的时候,装一些waf(比如wp程序就搞个wordfence插件等),每天备份就行,被黑了大不了重装。
2-宝塔面板或者什么权限,全部开双重验证,如宝塔:设置指定地址和端口才能进管理后台,然后还得输入一次页面方法密码,然后输入面伴登录账户密码后,还得手机二次验证。
3-没用的端口全部关了。
4-网站有业务价值后,可以找专业人士渗透测试。(比如“知道创宇”,专业的网络安全服务,为各大厂和各大国家网站提供网络安全服务,https://www.knownsec.com/)
每日措施:
每天备份到本地,网站文件和数据库备份
服务器的定时备份没用的,被渗透了,如果有足够权限,人家备份都给你直接删了,所以还是每天备份本地比较好。
如果被黑了,大不了直接重装所有东西,反正数据每天备份了,都还在,大不了数据漏了,这个没办法的,那么多大厂都漏数据。
备份没用阿?备份的文件木马在里面了,你也不知道是哪个是木马,重装还是中毒的。
那就直接不要那些文件了,如果是wp程序,你每天保存好主体配置文件和导出wp的文章,然后全部重新搭建,最后导入配置和文章即可。
首先,在旧的网站里面,通过后台的设置——导出,仅导出文章;
第二步:创建一个新的网站,在新的网站后台,点击设置,导入,选择导入上一步导出的备份文件;
第三步:将旧网站下面的uplaod文件夹复制到新网站并覆盖;
第四步:安装Media Sync插件,同步一下媒体库文件
https://wordpress.org/plugins/media-sync/
教程:https://www.zibll.com/forum-post/27377.html
重装和迁移差不多:
1-每天去site:www.你的域名.com去看看搜索引擎的收录,有时他们渗透进来不会改动你的东西,但是会用你的服务器和域名发布一些违规的网页,如果收录了,你的整个站点可能都会被k,所以发现不对的内容一定要及时删除,然后去搜索引擎站长平台把其链接拉入死链。然后排查问题所在,解决不了就重装。
2-防止挂马,自己每天多去访问网站,看看有没有被挂马跳转一些违规站点。
3-每天去看看服务器负载是否正常。
4-因为被黑,黑客会有数据库权限,他可能不大规模搞你,只是给某个账号加钱加积分等,所以每天去看看明细,及时发现异常。
提现一定要谨慎,必须人工审核,因为你数据库可能被黑了,他直接能给自己充vip加钱,每天要注意这些异常
5-只要黑客权限够高,他可以改你的任何内容,所以包括支付,每天去看看自己的收款功能是否正常。
DDos攻击
下面的很繁琐,但是别管其他七里八里的,大部分攻击流量来自海外,禁止海外访问是最重要也是最有效的一步。
所有的措施只是追求一个性价比的防御方式,但是惹到大佬了,肯定防不住,大型攻击只有上高防,不然腾讯云这些大厂的高防硬件服务早破产了。
tip:
1-下载一个最新的恶意ip,然后全部丢到防火墙里面拦截。
2-黑洞:就是机房检测到你的ip在被攻击,直接把你ip停了。
其实ddos流量是打到机房了,造成运营商堵塞,运营商把你ban了
通常这种是level4的ddos,也就是第四层传输层的攻击,通常为udp,tcp,syn等协议攻击
3-ddos就是资源换资源,沾满你的流量带宽(ddos),或者cpu和内存(CC)。
4-cdn所说的盾,就是用户一访问就跳一个滑块验证码等验证用户真实性,用来防cc的。
了解ddos,必须先学习通信协议,http,tcp,udp,dns,ip等等协议。
攻击方式:https://www.bilibili.com/video/BV1Ad4y11744
cc攻击:是web应用层层面的,打的http/https,一般是大量ip与服务器建立了真实连接,不断请求慢接口,让你服务器cpu内存和io等处理不过来,导致网站交互功能(用户登录注册,发评论等)瘫痪;需要用软件防火墙来防御。
cc攻击一般就是level7的ddos,也就是打了应用层。
解决:
最简单:
国内ip:找个好waf如宝塔服务器独立部署的waf;上带盾和人机验证的的cdn,被打就上5s盾和验证;
本地服务器nginxwaf:https://github.com/ADD-SP/ngx_waf/
国外ip:解析到cloudflare的cdn上或者直接禁止国外ip;
cc因为需要真实的连接,所以需要真实的ip,而国内是没那么多肉鸡的,就算有价格也较高,所以禁止国外ip是很有效的防cc措施。当然也可以解析到cloudflare,也能有效防御。
1-设置并发限制。
2-统计每个ip的请求总时长,超过阈值直接拒绝连接。
3-拉黑ip
http洪水攻击
- HTTP请求:请求网站的页面或资源,是最常见的HTTP洪水攻击形式。
- POST请求:向服务器发送数据,例如填写表单。
- HEAD请求:请求网页的头部信息,不返回实际内容,消耗较少的网络带宽进行攻击。
- 其他类型的HTTP请求,如PUT、DELETE等,根据目标网站的特定功能和漏洞来选择
cdn可以帮源服务器过滤udp和tcp这些四层,但是过滤不住http洪水啊?他连源ip都没有就可以攻击我。
服务器防火墙,cdn防火墙,cdn人机验证盾,禁止国外ip等措施。
其实CC攻击就是伪造正常用户的请求,我们识别区分正常用户和攻击者,再把攻击者拦住或封禁即可,如cdn人机验证盾就是拦住攻击者;除了人机验证盾,单个ip再限制连接请求限制,超过某个阈值再进行人机验证或者直接封禁。
但是攻击者也会去打码,等一系列手段去通过人机验证,你换一种人机验证方式,他也可能更新绕过方法。
你设置限制请求,他就上更多的ip,模拟正常,更精准的慢速请求面向某个慢接口攻击。这就只能分布式和负载均衡什么的源服务器硬抗了,因为cdn也处理不了动态请求。
本质就是资金精力的比拼,但这种明显是有商业竞争行为的恶意攻击,攻击者本身付出的代价也很高。
面对平常攻击,禁国外ip,再使用cloudflare或一个厉害防御的cdn,配合自身防火墙防御(如只允许cdn的ip访问服务器)即可。
注意:
如果你采用国内用户走国内cdn,国外用户走cloudflare,服务器防火墙设置了仅cdn的ip可访问,但在cc攻击测试中,发现资源cpu和内存还是占满了;这不是cloudflare的错,只要你正确设置了规则,它是肯定能防住的。
资源沾满的原因,是你的国内cdn的防cc能力不行,也许你需要升级国内cdn上滑块验证码识别攻击者,才能达到免费cf的效果,但是有这种服务的cdn价格需要大几百一个月。
cloudflare的缺点就是:国内访问速度的问题,可以优选节点等操作,但是还是慢一点。
当你面临大攻击,但是考虑cf访问速度慢,国内的滑块cc防御又贵的情况下,就可以选择20刀一个月的cloudflare,他的防御能力比国内几百的滑块验证码等还强(这里只说了cc,其他防御能力更加强的不是一点半点),而且cloudflarepro可以进一步优化访问速度。
缺点2:这点无法避免,dns解析生效慢,一般情况下几个小时,有的地区需要24-72小时,而且cloudflare是泛播,当你服务器关机一次,可能会换了ip,那么国内访问者就会取不到正确dns,就会卡。(这不是cf的错,而是国内运营商缓存了dns,导致不取最新ip)
最佳:平时国内走国内cdn,国外走cloudflare,有人攻击了就立马直接禁止国外访问,然后站点全部套cloudflare。
ns接入和cname接入区别
ns接入是保护全站所有域名,cname接入一个是保护单个域名。每个子域名需要重新添加
还有接入cloudflare可以有更好的dns层面的ddos防护和解析优化(国内得花钱)
但是ns和cname都dns生效慢
ns是将此主机记录的dns解析服务交给另一个网站或者服务去进行dns解析
cname是将主机记录解析到另一个网站
刷量攻击
配合ngnix和防御脚本,带宽限制(如一个ip某个时间段最多多少流量)去防御,还有每次把攻击ip记录下来,上黑名单。(四层协议攻击上黑名单是没用的)
解决:
1-上cdn,打不到自己的源服务器。注意:这样的话,攻击者可以刷量攻击,cdn流量会让你破产,所以得设置cdn不缓存,请求回源,然后源服务器设置响应请求的一系列带宽限制,如:一小时内只能走多少流量,因为正常用户用缓存一般也没有影响。(也可以配cdn鉴权)
原理:因为cdn用的方案绝大都是nginx,只有http(s)协议能通过cdn到达源站,其他协议一律在cdn处过滤了。这样四层协议完全无法穿过cdn,什么udp 洪水,udp反射,icmp洪水,syn洪水(直接用假ip来请求,不建立真正的连接,但是通过tcp握手机制达到让我们服务器接收大量无用流量,这个其实本机配置下iptables就能防御)都没用。
cdn可以防ddos,因为带宽打在cdn身上;但cdn防不了cc攻击的,cc攻击如:它是发起请求,去让你的服务器操作数据库,但是cdn是没有数据库功能的,所以这个攻击是源服务器在抗,cdn的waf都是通过限制和过滤恶意请求等间接防御。但是cc可以上人机验证,把http的cc请求拦截审核一次再发给源服务器,可以很好的解决cc攻击。
不要用不正规的cdn厂家服务,你不续费,他可能故意ddos你。
2-买有硬件防火墙的cdn和ip
ddos的udp洪水放大攻击:打的是带宽,UDP是一种无连接的协议,它不需要在发送和接收数据之前建立连接。这使得UDP攻击可以通过发送大量的UDP数据包,占用服务器的带宽,从而导致网络拥塞,影响正常的网络通信。
防止泄露源ip:
源IP泄露了,cdn就只有对正常用户起缓存加速和节省带宽作用了。起不到防御udp等ddos攻击的作用了,因为直接打你源ip就行了,流量不需要通过cdn了,随便几下就打死了。
教程:
https://blog.csdn.net/m0_65336233/article/details/127164933
https://blog.csdn.net/honest_run/article/details/126271477
https://blog.csdn.net/qq_45619909/article/details/128946800
https://www.bilibili.com/video/BV1MX4y177BU/
https://www.bilibili.com/video/BV1vX4y1p7Su/
源ip已经泄露
解决方法:如果已被记录,可以更换源ip,开启c设置好dn后再解析更换后的源ip服务(否则可能换了又被立马记录)
注意:更换源ip不一定要换服务器,每台服务器一般是有更换公网ip名额的。如:腾讯云轻量级服务器实例,有一次免费更换ip的机会,去服务器控制台换就行。
1-网络工具查询:
教程:https://www.beiqiangcha.com/news/6527.html
一般这些网址是24h去扫全世界网站的端口和ip,然后进行记录,即使你套了cdn,你的源ip很有可能已经被记录在这些网站中。
解决方法:更换源ip
2-常规ping查询ip或者那些censys查历史解析ip:https://www.itdog.cn/ping/www.elonmusk.cn
一般套了cdn后,ping不出源ip,但也有可能刚加cdn没陆续生效,还是有源ip存在。
历史ip就是你加cdn之前解析到源ip过,那些网站会记录下来
解决方法:一样,换服务器ip然后套cdn,千万不要解析源ip,解析一次可能就被扫描记录了,除非你是高防机器不怕露源。
3-偏远地区访问;或硬刚cdn。
偏远地区访问服务:https://tools.ipip.net/cdn.php
原理:cdn无法覆盖的偏远地区对域名进行访问,一般就会真实ip提供服务,这样就泄露了源ip
原理:直接强行打死cdn(可能性较小),然后回源获取到真实ip。
解决方法:域名解析就根本不要设置源ip提供服务;联系cdn服务商设置cdn打死禁止回源;设置只允许cdn的ip访问源服务器。
4-邮箱地址查源IP
阿里企业邮箱申请不需要企业营业执照什么的,每个人都可以申请的。
教程:https://www.bilibili.com/read/cv11644429/
20r/1w封的资源包邮件有效期半年,也就是0.002r一条邮件,多买更优惠。(有的人开通就送了资源包,就不需要买了)
我们也可以根本不买,因为他每天都送200封,200封用完才消耗我们买的资源包,但是为了保证服务,还是买1w封的吧。
注意有效期,资源包过期了,得续费才能继续发邮箱,不然每日发了免费的200封就不能发了
邮箱控制台:https://dm.console.aliyun.com/和https://billing-cost.console.aliyun.com/
相比于短信服务的平均0.035r/条,便宜了18倍。
原理:如果网站有发送邮箱的功能,那么接收邮箱者,可以查看邮箱原文,找到发送邮箱服务器的ip地址。
解决方法:腾讯和网易都是不隐藏域名源ip的,可以用阿里的企业邮箱帮助转发邮箱进行藏源ip;或者自己用另一台服务器转发邮件(不建议,麻烦要自己写配置等)
5-子域名或其他域名
原理:a.cn和b.cn都挂在源服务器101.1.1.1服务器上,a.cn加了cdn不会暴露源ip,但是b.cn没加cdn还是会暴露。攻击者找到了对应域名和ip间的联系,就会攻击你。
解决方法:把所有域名都加上cdn;或不要同服务器挂载多个域名;或域名间不相互联系,让攻击者无法判断联系
6-TLS证书
原理:https://www.bilibili.com/video/BV1Hu4y147wW/
教程:https://www.cnblogs.com/linuxprobe/p/14932932.html
证书生成站点:https://www.ssleye.com/
原理:就是访问你的网站,然后看域名的ssl证书的sha256指纹,然后去https://censys.com/和https://crt.sh/去搜你域名或者证书指纹,找到对应的ip和你的证书指纹一样,那就是源ip。
如果查不到,那就再去dns记录网站,去查询你域名所有的dns记录的ip,一个个去访问https://你的源站IP:443,看看有没有证书可以对上主域名。
虽然是由ip获取域名,但是:
市面上很多工具爬虫24小时不停的抓取扫描IP,这类的工具网站通过无差别HTTP/HTTPS请求所有的IP,并将抓取到的IP地址所对应的网站记录到网站,以至于有些攻击者可以通过这类的网站可以直接查询到网站源站IP,因此在搭建网站的时候一定要做好屏蔽安全工作。
排查是否属于上述问题:通过https://你的源站IP:443,如果可以访问并且浏览器左上角锁的标志中显示了你的域名ssl证书,证书详情内有你的域名信息,那么攻击者就知道这个ip是你的此域名的源ip。
解决:
宝塔面板用户可添加一个随意的网站1.1.1.1(域名或者IP随意),然后删除宝塔创建网站默认生成的全部文件,然后为这个随意添加的网站配置一个无效的证书(本文下方会为大家提供一个无效的证书使用),配置好证书之后在宝塔面板后台:【网站】-【默认站点】中心选择刚才添加的这个随意的网站作为默认站点。
7-cdn部署后,有历史老资源遗留
- 用户请求:当用户访问一个使用CDN的网站时,他们首先会与距离最近的CDN边缘节点(Edge Server)建立连接,而不是直接连接到网站的源服务器。
- CDN处理:
- 静态内容:如果请求的是静态内容,而且这个内容已经被缓存在CDN节点上,CDN会直接返回这些内容给用户,无需访问源服务器,如果没有,那么cdn请求源站拿到资源,再转发给用户,用户也拿不到源站ip。
- 动态内容:对于动态内容的请求(例如用户提交的表单、实时数据更新等),CDN不能直接从缓存中提供内容。这时,CDN会根据配置将请求转发到源服务器。
- 源服务器处理:源服务器接收到请求后,处理动态内容生成(如数据库查询、页面渲染等),然后将生成的动态内容发送回CDN节点。
- CDN响应用户:CDN节点再将源服务器响应的动态内容转发给用户。在某些配置中,CDN也可能缓存这些动态内容的响应,依据特定的规则,如HTTP头部信息中的缓存控制指令。所以用户也拿不到源站IP
但是如果站点有一些资源没被cdn普及到,被攻击者发现了,那么这些资源的请求会直接请求源ip,就暴露了源ip。
8-网站漏洞
原理:攻击者利用网站的漏洞让我们的服务器去攻击者黑客设置的资源,建立连接就暴露了IP
解决方法:这个看情况而定了,解决漏洞即可。
9-源服务器的遗留文件
有的老文件不在cdn范围之内,就可能被攻击者扫到,然后直接建立和源ip的连接。
防御总结:
1-源服务器,如果你是宝塔面板就把能开的优化策略和免费的安全插件都搞起。
2-然后找一个防御ddos和cc的安全脚本安装上,比如基于iptables一类的开源免费脚本,或者宝塔的付费waf(有一个是基于nginx的,有一个是独立服务器部署的waf)(不漏源ip的话,可以不用设置)(如果站点上了cdn,cdn服务商一般也会自带这些的,但是cdn的是cdn的,万一源ip暴露,源服务器的防御脚本也能起一定作用),也可以用nginx免费防火墙,也有防cc功能
3-套个cdn就行了(抵御ddos的四层攻击,国内大厂计量cdn注意七层http刷量,如果是cf那种无限流量就不怕)
4-cc攻击的话,cdn一般会防,还有1,2也都会防。
5-不要泄露源ip
国内ip走值得信任的小厂cdn(大厂计量害怕被刷量攻击),国外IP走cf,万一国内小厂cdn被击落,立马也换cf,再被击落用付费cf。更换期间上静态维护页。
6-cdn禁止回源,还有设置服务器只允许cdn的ip访问,可以最大程度防止cdn被击穿导致源ip泄露
7-一般直接禁止国外访问,实在要访问,把攻击者肉鸡最多的国家禁止访问。
XSS和CSRF和SQL注入
XSS攻击主要是通过在公共站点中嵌入非法脚本,当其他用户访问这些页面时,这些脚本会被执行,从而影响用户的操作或窃取用户信息;CSRF攻击则是伪造用户的身份,向目标网站发送请求,这些请求通常与转账、发邮件、购物等操作相关
xss:https://www.bilibili.com/video/BV1Qd4y1k7K4
Cross Site Scripting跨站脚本攻击是恶意用户通过用户的输入框注入恶意脚本到服务器,让e正常用户收到服务器的恶意脚本并执行。(不叫css是因为避免和前端的css重复,就叫了xss)
Cross-site request forgery跨站点请求伪造是伪造用户请求,进行非法操作,比如qq邮箱如果被csrf,那么攻击者就可以冒充你删除你的邮件。
sql注入:https://www.bilibili.com/video/BV1ZR4y1Y745,通俗说:如登入账户,黑客在登入框内插入恶意sql字符,欺骗服务器执行sql,从而达到骗取账户密码和权限等操作。
这些玩意现在都是用框架组件开发的程序,一般很少有这种漏洞,就算有,随便启用一个防火墙也有过滤功能。
dns污染
这种是dns运营商的事情,我们管不着,出问题了我们找它们就行,腾讯云,阿里云什么的。
防护
一般现在用框架开发的程序都很少有这些漏洞,因为本身框架做了安全策略,还有配合waf防火墙,都可以进行有效防护。
sql防范:对用户的输入过滤等。
xss防范:对用户的输入(账户密码,评论等各种input框)做过滤,对输出做转义
csrf防范:使用token(因为有同源策略,其他站点拿不到另一个站点的token);避免get请求;使用验证码等,但是cookie也有同源策略,为什么又被利用了呢?token也会被xss等方式劫持呀?攻防永无尽之,这里只是了解
CDN的选择
那些限制带宽的cdn,是单个节点限制,比如写着限制10m/s,如果有10个节点,就是每个节点都有10m/s,而不是说全国所有节点一起总共去分10m/s,因为他们根本做不到这种流量计算配制。
按理来说节点ip越多,发布地区越广,加速效果越好;
但是ping一些大厂官网会发现他们的ip一般就4-6个,也不多呀?
因为他们的架构不像普通网站,而且他们的一个ip可能能顶你10个ip(也可能一个ip就是一整个机房),他们公司有专门的部署架构。
也可能会任播anycast。了解任播:https://www.bilibili.com/video/BV1894y1U7dz/
对于普通网站来说,还是选择节点多,分布广的CDN服务商较好,当然得实际测试(有的是质量不够数量来凑,也许20个ip的速度还没有10个的快),比如用站长之家去ping。
如果是面向国外用户,秒选免费的cloudflare就行了,通俗说:上了这个cdn,免费的ddos不可能打的死,如果对方买高价付费ddos,你直接买一个cf的付费服务,一样能抗住,而且他攻击的成本比你防御还高很多。
可以国内外用户ip分开部署cdn,国内的部署一个性价比高的厂商,国外就用cf
国内用户访问通过国内cdn,国外用户访问通过cloudflare方法:
1-将要防护的域名的ns交给cloudflare,这样可以全站防护,但是国内用户就无法再使用国内的cdn(因为国外的dns服务商没有多线路解析的功能),而国内用户访问cloudflare也会很慢。(所以不推荐)
2-使用国内多线路解析,国内用户还是国内的cdn,国外用户请求通过cname方式接入cloudflare的cdn(推荐),但是cloudflare的免费套餐,不支持cname接入。
解决办法:https://www.3520.net/free-cargo/2326.html
遇到问题(提示网站重定向多次,无法访问)解决方法:https://www.3520.net/server/2829.html,大概就是把cloudflare内的SSL/TLS改成“完全”(使用服务器自签证书)
cf配置参考:
多线路解析还可以分线路,比如电信,联通,移动,教育网,浏览器来源来分开解析,我们可以一个线路上一个国内cdn,原先是一个cdn抗,现在五六个cdn抗,自然防御力强很多。(平时默认开启一个cdn,遇到攻击了再开启多线路解析)
cloudflare优化后,国内访问速度其实还过得去,可以研究下优化和优选节点。
相比于国内高防cdn,cf特别良心了,速度优化还是不够用,可以升级cfpro,20美刀一个月,也比国内高防便宜,防御效果也好,速度pro又可以优化,基本上大差不差。
http刷量
上cdn就有一个坏处,流量得花钱,四层协议的攻击流量费算不到我们头上,但是http刷量攻击流量费就得算我们头上了。
解决:
1-cdn配置限速等配置,不过这些配置一般不够用,还是会被刷一部分钱。
2-直接把cdn的缓存功能关了,然后资源请求放回到本身的真实服务器ip处理,本身服务器再配合nginx和openresty 精细化限速;也就是说只用cdn抗四层攻击;但是这样cdn的缓存功能就没有了。
3-上cloudflare,根本不怕被刷。
4-被打一次及时拉黑ip
cdn到底是怎么配置的?什么原理?
https://www.bilibili.com/video/BV1zM411Z7VC/把这里所有的看完就懂了
这里详细说了cdn架构和解析原理,比如正规cdn在回源前,还会去请求一个中间服务器,中间服务器真没有资源才回源等等。
下图是cdn的一些常见疑问。
如上图提到了cdn的疑问,还介绍了dcdn,dcdn其实也不贵,可以有效防止cc攻击,因为它除了很多防止cc的规则外,更重要的是有多种人机验证机制,这些规则按照sec收费,不贵,应该也就百多一个月。
其中cdn选项中可能有websocket加速,tcpudp加速是给那种直播行业比如实时评论等功能用的,我们不需要。
但是,他虽然防御cc很厉害,不过当你遇到ddos攻击,其中肯定包括第四层攻击,阿里云完全有死扛第四层攻击的能力,cdn的第四层攻击流量是不收费的,因为这是基于ip的攻击。只有应用层第七层才能知道攻击的是你的网站,所以收费。但是阿里云不会去死扛第四层攻击,他会根据受攻击cdn的ip和客户中谁的网站突然涌入大量请求(被ddos,其中肯定混合了争对你网站的cc攻击,这个cc攻击动态请求也是过cdn的)等一系列措施,去推导出是谁的域名网站被攻击了,然后将你拉入沙箱,暂时停止你的dcdn服务,除非你购买ddos独立防护。这个防护特别贵,不是一般人买的起的,而且也不是一直防护,一个月只能防护几次而已。
腾讯的scdn和edgeone同理,也具有很好的cc防御,但是不会去抗第四层攻击,但是貌似比阿里云好一点,提供了一些基础的第四层防护带宽,但是他们并不承诺最小防护带宽,通过朋友了解到,这点防护是根本防不住的,随后也会被拉入沙箱,除非买独立ddos防护,这个防护根本买不起,而且需要买很高价格edgeone套餐的企业用户才能接入。
所以我们只能选择小厂的cdn去死扛第四层了,小厂当然没有腾讯云厉害,腾讯云的死扛是真保证每个人的死扛,给每个人都留了死扛的资源,所以很贵,小厂的死扛是很多个人共用这个”死扛资源”,所以别人网站被攻击,可能还会影响到你,但是找个稍微大点的厂买死扛就够用了,目前ddos攻击还不是特别猖狂,多个人同时收到ddos攻击的情况较少,共用死扛资源也够用。
所以小厂cdn可以说防御可用性是80%,价格200一个月,大厂是防御可用性100%但是一个月一万,不是做的特别大,你没必要去花1w去保证站点稳定防御可用性。
其次这些dcdn,edgeone等都防御不住,必须买独立第四层ddos防护,那些平台的大厂cdn产品更别说防护了,它只能提供加速服务,根本没有防护功能,而且流量计费有5小时左右的延迟,有时你被攻击了,只要你还没拉入沙箱,在这五小时内,可能产生大量的第七层cc攻击的流量。(dcdn等就是比普通cdn多了cc防护)
一般大厂都会建立自己的机房和cdn系统等等,这些都是考虑一个长期的成本和效率问题,比如建机房后续资源肯定比买腾讯云阿里云的便宜,但是要花很多资质,时间精力,是否合算呢。就像主播带货为什么自己不去制造商品一样,只有资源整合,利大于弊才会去做。
tips:cdn有防cc规则和人机验证规则,但是这些都作用在”请求“,我们自己的程序前后端也需要做一些防护。cc请求的是登录注册那些接口,所以这些接口都要做人机验证,甚至接入付费的极验人机验证。
除了cdn的死扛防御和cc规则,有时候防不住,漏了一些恶意请求,那么我们源服务器也可以购买一些带ddos防护的源站高防ip,还有买性能配置高的服务器,自然抗攻击强一点。
cdn配置
1-问号后参数处理—-设置带参数/去参数缓存
不处理:默认带问号后参数缓存,带问号后参数回源。
缓存和回源均去除:缓存和回源均去掉问号后的参数(若问号后参数不一致,文件内容一致,则推荐此配置,可减少回源)
如果你的网站是动态的,你需要选择不处理,不然你没设置好,动态请求都可能根本请求不出去,会提示400。
2-缓存策略(html千万不能缓存)
css,js,zip,gzip,tar,7z,bzip2,dmg,gz,tif,tif,bmp,mp3,mp4,avi,mpeg,aac,rmvb,mkv,flv,swf,mov,jpg,jpeg,png,bmp,gif,psd,ico,tga,imb,tiff,svg,webp
建议如上的不会改变的静态资源缓存30天即可
如果你是php的动态程序,然后通过php转化为html再下发给用户,那html千万不能存储,因为你html存储了,用户看到的页面直接不变了,何来的动态。而且很容易出现各种问题,比如用户访问网站白屏或者响应文件头content-type出错,网站从html/text变成application/octet-stream就变成下载一个bin文件。
cdn推荐
白山,https://baishan.com/ 为各大企业和国家网站提供scdn服务,只服务企业,如果你没有企业可以找一个用此产品的企业,你去开通他们企业账号的子账号。
知道创宇https://www.knownsec.com/为各大企业和国家网站提供scdn服务,比白山更强更贵,还有渗透测试等网安服务,除了scdn,更牛的是它的安全服务。
上海云盾,免费无限流量但是限速5m/s,而且还有滑块可以开。小站完全够用,但是被四层ddos会沙箱。
cloudflared的配置和接入和优选
接入教程:https://www.imydl.com/wzjs/16711.html
优选教程:https://cloud.tencent.com/developer/article/2437958
优选节点ip:https://api.uouin.com/cloudflare.html和https://cf.vvhan.com/
cdn注意
1-用大厂服务最好存储桶和cdn用一个厂商的,因为存储桶的流量计费基本是:外网下行流量0.5/g,cdn回源流量0.15/g(买资源包外网0.35,cdn流量0.1)如果是同一个厂商,流量算回源流量就便宜很多。
2-加入cdn后让宝塔网站日志显示真实ip,而不是cdn的ip
这里是让网站日志显示正确ip,宝塔付费防火墙是有勾选cdn功能的,勾选后会自动识别真实ip
在nginx配置文件中的keepalive_timeout :xx s的下面添加如下配置即可。
set_real_ip_from 0.0.0.0/0;
real_ip_header X-Forwarded-For;
cos存储桶
大厂的存储桶和cdn你再怎么防御,总有攻击大佬能破的,为了防止一夜破产,最好别用,用了一定要设置封顶和流量限制等,如果存储通cos你没用腾讯的cdn去保护(因为腾讯云的高防cdn很贵),而是用的其他高防死扛cdn,那么只有这个cdn能保护cos(其余的什么cos防御,设置referer什么的都没用);
按理来说除了cdn提供商,其他人是不知道你的源存储通链接的,但是就是有大佬能搞到,万一被抓源存储桶的情况下就没办法去很好的限制cos速率,就更加要把各种告警都打开,比如微信,邮箱,电话告警都打开,被告警了直接关了服务,防止被刷。
官方告警设置链接:https://console.cloud.tencent.com/monitor/alarm/policy/detail/policy-hivhx5ef?content=policydetail
把cos存储通中的文件,在cdn中勾选全部缓存,尽量被刷流量也是刷小厂cdn的。
腾讯云cos防刷终极方法:通过函数自己去监控cos流量,流量超过阈值就关闭服务,这个是腾讯云cos自己没有的功能https://cloud.tencent.com/developer/article/2258668
tip:存储服务是没办法停止的,你只有设置为私有访问或者删了所有数据。
存储服务最好和源服务器是同一地区,可以让网站更快,最好服务商也相同,可以节省一点流量。
价格区间:2024.3一年1T的腾讯cos,首单优化我只花了120
计费:流量费+存储费
tips:存储通最好要和网站一样每天备份到本地电脑(产生流量费用)或者进行版本控制(产生容量费用),虽然大厂存储被黑的几率很小。
如何防刷:
1-防盗链,跨域访问cors设置(形式化设置一下,有人想攻击的话,防盗链什么Referer都可以伪造的)
2-千万不要把桶名暴露,要自定义配置一个域名去代替桶名。
腾讯云提供了两种方式。如下的方法1和2,两种方式用其中一个就行了,另一个不需要也用不了,因为cname会冲突,除非你是想配置两个自定义访问的子域名。
1-自定义源站域名:比如你设置个pic.xxx.com,然后你在xxx.com的dns上配置好主机记录为pic,cname记录值为cos原始访问链接就行了。(必须设置共有读)
这样只是隐藏了你的cos的原始存储桶链接,因为是共有读,如果黑客通过某个方法知道了你的cos存储桶原链接,可以一直请求刷你的原链接。而且其实没点用,人家就算不知道你的原始存储桶链接,直接刷你这个自定义源站链接是一样的。
2-自定义cdn加速域名:配置加速域名为pic.xxx.com(前缀随便你设置的,反正就是用来以后提供这个链接访问cos内资源),然后腾讯云会分配加速域名pic的cname主机记录值,一般就是<域名>.cdn.dnsv1.com,然后他会在腾讯的cdn控制台自动为你设置源站为cos的原始访问链接。(设置私有读,私有读比较安全,但是必须用腾讯云的cdn,因为腾讯云他的cdn和cos之间后台设置了鉴权机制,相对于cdn每次访问都带了一个密码去访问,所以可以取到资源,其他人访问的话没有密码权限,无论怎么请求都是404,有cos原桶链接都没用)
其实和方法1一样的原理,但是就是加了个cdn,让无法直接刷cos,而是先刷cdn,而cdn又有cc防护,达到保护cos的目的。
3-当你站点用的不是腾讯云的cdn,因为腾讯云的cdn是不死扛第四层ddos的,所以我们基本上会接入小厂cdn去防御攻击,那么我们用方法1就行了,自定义源站的域名和我们的小厂cdn的加速域名一致就行了,比如都设置pic.xxx.com,然后小厂cdn中配置回源为cos原存储桶链接即可。这样小厂cdn照样可以保护我们的cos不被刷量,因为用户每次访问图片,都是通过pic.xxx.com,他是先请求了cdn,cdn没有图片才会请求我们的存储桶。
防御原理和腾讯云cdn方法2一样,但是差了一点,因为小厂cdn和腾讯云cos之间没法去相互配合设置后台鉴权,设置腾讯的授权策略让小厂cdn访问很麻烦,所以无法开启私有访问,那么当你存储桶原请求链接暴露了,攻击者就可以跳过cdn去请求你的cos,就被刷了。所以千万别告诉别人你的存储桶原链接,还有不要去用方法1,方法一就是脱裤子放屁根本没用,要么你就直接用方法2或者3,否则会暴露你的存储桶原链接。
第3种方法的弊端
首先cos是不可能被cc打死的,因为本身cos就只会被刷量,它处理并不是动态请求。如你的cdn没有滑块人机验证等功能,可能防不住第七次的cc攻击,也就是过滤不了所有恶意动态请求,源服务器会被打动态请求宕机。(把国内cdn关了,开cloudflare就行)
注意cloudflare你不是接入他的cdn就行了,你也得百度配点里面的策略,还有被打了手动去开5s盾。
但是因为cos处理的是下载,不是动态请求,而且本身前面就加了一层cdn挡着,尽管这个cdn没有人机验证功能,也会分担流量和请求,所以cos是不会宕机的,遇到cc攻击只会被刷cdn和cos的流量。
如何不被刷流量呢?
1-你就花钱上一个有人机验证滑块验证等防御cc的cdn就行了,这样cdn流量和cos流量都不会被刷。
2-通过ns将主域名接入cloudflare,这样按理说应该是可以的,但是貌似cos无法接受cf无限回源,也就是说cf无法保护国内你在腾讯云阿里云买的存储桶,而且ns接入cf会导致国内dns解析和生效缓慢,所以如果你是一个注重用户体验的产品,不推荐这个,如果你不注重用户体验你直接全站接入cf,存储也用cf的存储桶就行了。
3-通过原先提到的中转域名跳板的方式让域名接入cf的方式一样,让cos也通过cname接入cf,这样就不需要ns接入cf了,也不存在dns解析速度的问题了,但是这貌似根本就行不通,一是国内腾讯cos等存储桶好像不接受cf无限回源,再者好像根本搞不了。
4-接入多个cdn,没用的,因为cdn死扛本来就不会宕机,问题出在没用滑块验证,被刷流量,你接入无数个cdn一样会被刷
5-套两层cdn,第一层是死扛第四层的cdn但是没用滑块验证,第二层套上海云盾cdn,不死抗但是有滑块验证,这样就又能死扛又能防止cc了。首先上海云盾有速率限制,但是按道理确实可以用,不过免费的cnd的waf终究效果不好,而且操作起来很麻烦,两层cdn速度也慢了,还不如直接接入cf。
如果说先第一层接入cf,第二层国内cdn,也是愚蠢至极,这还不如直接接入cf。
所以只有方法1可行,搞个有人机验证的cdn就行了,如果实在不想搞,那被cc攻击了,动态请求的防护就通过关闭国内cdn开启cloudflare解决,防止源站被动态请求打宕机。cos的防护没办法的,但是不会被打死,只会被刷流量(加速cos的国内cdn不要关,还可以为cos分担流量)
买死扛的带有人机验证的cdn,cdn和cos防刷都解决
或者牺牲一点速度,动态防御用cf和宝塔自带的nginx免费防火墙,cos就让它刷,如果刷的钱少于买人机验证的钱,就让他刷,牺牲一点动态请求的速度而已。如果超过了人机验证的钱,就买人机验证,速度和防刷都解决。
或者牺牲速度全站接入cf
三个方法可以保证可用性
(这三种方法都是cdn层面,你服务器层面也可以配合免费waf防cc,服务器层面防住不了刷cdn和cos,但是可以保护源服务器)
1-买死扛和带cc人机验证的cdn;
2-买死扛不带人机验证cdn,cdncos流量让他刷;根本成本来决定1还是2
3-牺牲速度,全部接入cf,存储桶也用cf的其实宝塔专业版也有人机验证,但是只是防止源站被cc击落,不防cdn和cos被刷。
平时和小学生攻击的话
第四层攻击:平时随便挂个死扛cdn就行。第七层攻击:设置宝塔nginx免费防火墙60s内请求同一个url多少次就封等和禁国外ip完全够用了。cos和cdn刷量:配置自定义域名,cdn保护cos不暴露源存储桶域名即可,小学生一般没资源去刷量。
其实宝塔自带的nginx付费防火墙(一般被攻击的时候速率限制60s30次,正常用户也能保证访问)(没钱买你去找一下宝塔开心版,有纯免费的如bt.sy,也有tb上他们破解后加入自己授权机制卖的,但是破解版小心后门,需要找那种用户量大的,因为各大牛都分析了,就大概逻没有后门,但是还是有风险不建议使用嘿嘿)还可以,但是如果你是轻量云等一些配置低带宽低的服务器,还是防不住攻击的,因为虽然它把带宽拦截了,但是如果你用了cdn,那么所有恶意请求其实通过了第四层到了第七次的nginx才被拦截(因为第四层看的是实际请求ip,你给攻击者封ip没用,他的请求其实是通过cnd的ip代理的),其实已经建立了连接,只是建立后返回了4xx的请求,攻击者请求多,你拒绝也得占用资源,还有建立了连接也有ssl握手,也得产生流量,这些流量在宝塔监控面板不显示,但是是存在的;所以即使拦截,你的服务器也顶不住,所以最好是带waf防火墙的cdn在前面顶。
有点水平的攻击:
第四层:死扛cdn就行。第七层:开启cf,设置宝塔nginx免费防火墙和cf的策略和五秒盾。cos和cdn刷量:cdn保护cos,一般cc攻击也刷不了量,都是打请求。如果被刷,刷的少就随缘,刷的多就买带人机验证的cdn去保护cos,或者买个高防被打秒解高带宽高存储的机子,直接不用cdn和cos。kuai
cf可以优化优选节点,让国内访问更快,但是再快肯定也没有国内cdn快
高手付费攻击:没钱就全部接入cf死扛,存储桶也用cf的,访问速度慢而已。有钱就上更好的死扛高防cdn人机验证waf套餐(还可以上定制的人机验证更稳)去保护网站和cos,源站上带waf的高防高配高带宽服务器(比如什么十堰高防)。
上个800g源站高防,再来个单节点全800g高防cdn,定制访问人机验证和各种cc请求人机验证,藏好源ip,我不信有人能压你。
最牛逼攻击:这种攻击基本上,我们个人站长自己运维是处理不过来的,他会有专人去找你网站的各种漏洞,比如cc攻击也是盯着那种耗资源最多的接口攻击,然后你有防火墙策略,他有绕过策略,你人机验证,他也写脚本实现自动化等等。这种就找知道创宇等这种专业网络安全公司,几万一年包你无忧。
其实也不用担心,有cdn死扛第四层也差不多了,因为普通的cc攻击基本上是动态请求,动态请求一般人没法刷量攻击一直刷你流量,因为你封了国外访问,刷量攻击是需要真实ip和我们的ip建立连接的(动态请求同样要真实ip,只是刷量得消耗流量,资源消耗更大,所以一般cc攻击也是动态请求,并不一直刷你流量),因为国内没那么多肉鸡ip和流量攻击你,除非人家花钱攻击你,你值得别人花钱,说明你也有钱,你上更好的防御就行了,他的攻击成本可能比你防御成本还高。
但是动态请求就能把我们服务器打死了,但是这个打死只是cpu等爆满,并不会被服务商比如腾讯云拉入黑洞,攻击结束后十多分钟服务器就恢复了,一般小学生用的免费攻击也就几分钟攻击时间,如果你业务不打,大不了宕机十多分钟,业务大你上人机验证就行了,也不差这点钱。其中也有免费的一直打的cc攻击,但是流量很小,你封个海外ip,然后配点免费的waf,然后小厂cdn也有基本的waf,也能防住。
当你的源ip没有暴露(暴露了可以联系厂家换ip),别人ddos攻击你,其中第四层攻击udp tcp等各种大流量协议都是打的ip,不能直接攻击你的服务器,而是攻击的cdn的节点服务器;基于http协议的cc攻击才是争对你域名动态请求的攻击;大厂cdn给你接入cdn,当你遇到攻击,大厂会根据为你提供的节点ip和被攻击的ip进行一系列对比,从而知道是你的域名网站引来的攻击,如果你没买ddos独立防御,为了保证充足的防御资源,就会把你的网站暂时撤离cdn服务了,不会帮你抗第四层攻击。
而小厂cdn,也许他总共就那么50个节点ip,所有用户公用的,他根本没办法知道是哪个客户的域名被攻击了,可以根据哪个客户网站有大量cc的动态请求初步判断,但是也不能凭这个就乱封不是,所以不会把你拉入沙箱(有的小厂cdn也拉沙箱),他只能用自己的资源去硬抗,这并不代表小厂比大厂好,只是小厂的资源被你们所有用户共享,他赌的就是不会同时多个客户被攻击,当多个客户被攻击,他cdn直接全挂了。
相对于小厂是群防,所有人共享防御,不是个防,所以便宜,万一一个用户被大佬攻击,可能还影响到其他用户。
而知道创宇和白山这种,节点特别多,一个域名给一百个cdn节点,专门防御的,即使你没买独立ddos防御,一般也不会把你拉入沙箱,因为那么多节点一般流量根本打不动,根本不痛不痒。而且他也不好判断谁被攻击了,但不是说他们比腾讯云阿里云资源多,只是说策略不同。
如果你的站很大,买了普通的人机验证等等防护没用,接入cf也没用,需要保证业务的100%稳定,那就花几万每年买知道创宇和白山那种专业防护就行,上定制人机验证和各种策略,还有渗透防护等各种功能,基本上解决所有网络攻击。
你还可以像宝塔独立waf一样,部署一台独立服务器(注意带宽要大于源服务器,木桶效应)专门中转流量做waf(和反代防御虽然原理不同,但是功能差不多);其次你源服务器也可以购买高防ip服务器,源服务器自带强力waf,其次再防不住流过来一点恶意请求,因为你源服务器本身高防而且资源配置高,所以根本就不怕了。
什么宝塔自带的nginx防火墙,什么开源防火墙,那些防护cc的规则也不是说没用,但是只能防护一些小型cc攻击,大点的攻击还是得人机验证,只是小白刚开始是了解这些防火墙。其次即使waf带有人机验证等或者能防住cc,也建议在cdn层面就把攻击拦住,因为即使源站有waf能防御cc攻击,也消耗源服务器的部分资源不是。
宝塔的nginx防火墙需要给cdn加上白名单吗?会不会因为cc防护规则,封cdn的ip
注意,你源站服务器上安装的防火墙什么cc策略比如单ip访问url30次就拉黑,这些策略对cc有点点用,不过一定记得要把cdn的所有ip拉入白名单,不然他会把cdn也拉黑,有的cdn节点是智能分配的不是固定的,你可以联系cdn厂家为你提供动态接口获取动态cdn的ip,动态拉入白名单。(如果防火墙没有识别cdn中header以此知道真正请求者的功能,就需要给cdn加上白名单,这样的话所有请求也都会算是cdn在请求,然而cdn又是白名单,那这个防火墙直接失效了,所以一般防火墙都有识别header的功能的)
经过测试niginx防火墙不需要将cdn的ip拉入白名单,因为cdn通常会设置请求头header中的real_ip_header和forward参数,nginx可以从此参数知道真正请求者的ip,虽然请求者的请求是通过cdn请求的,但是这次请求仍然会算是请求者在请求,而不是算cdn的ip在请求,所以即使触发cc防护规则,封的是请求者的ip而不会是cdn的ip。也就是说nginx防火墙通过cdn请求的header知道真正的请求者ip。举一反三即使你给cdn的ip加上白名单,那么请求者通过cdn的ip(在白名单内)频繁请求也会被封的(封请求者,cdn本就不会封,而且它在白名单内,更加不会封)。
那么攻击者会不会伪造自己是cdn,欺骗防火墙,然后伪造header,以达到带入大量恶意流量?
目前我没遇到过,我们配置cdn的时候都上传了证书,应该有验证的,伪造不了,我自己cc攻击测试的时候也没遇到过这种伪造。
服务器自带的firewall防火墙取的是请求者的哪个ip?
我此前设置过移除服务器的http和https服务,也就是说所有人不能访问我的服务器打开我的网站,但是我设置了cdn的白名单在firewall,此时网站是正常访问的,以此可以知道在firewall所有的请求ip就是算的当前实际请求的ip,不会和nginx防火墙一样去看什么header去得到真实请求者的ip。否则如果是去得到真实请求者的ip,我是禁止他们访问的,网站怎么会正常打开呢。
宝塔面板中的网站的日志也是显示当前实际请求ip,不会去分析什么header
cos存储桶配置
1-按照各大厂商的防御机制都配置一下。
2-加入图片压缩,比如图片上传到cos中,自动把图片全部转为webp格式,可以节省流量,用户访问也快。(有的cdn也有自动下发用户为webp格式图片,但是你cos下发给cdn的还是jpg等,不能节省cos流量)
腾讯云cos的图片处理是通过用户访问的时候转化为webp,用户每次访问都得计费,cos存储的还是jpg等。如下方法可以直接把cos内存的就是webp,那么用户直接访问的也是webp,所以收费一次即可。
数据万象,用户上传图片到cos自动存储为webp格式,https://cloud.tencent.com/document/product/460/46488
看不懂就开工单
注意事项
1-在修改东西之前一定要备份,要清楚的找到自己修改了什么,步骤都要日志记录。
2-nginx防火墙,各种插件防CC,防渗透插件等,cdn防火墙,这些功能的使用要清楚基本原理,否则互相冲突,正常访问都禁止了,你也不知道谁禁的,那就麻烦了。(比如要给cdn的ip加白名单,否则防火墙会拦截。)
比如网站加cdn后,源服务器只和cdn通信,那源服务器上的这些cc的waf其实没用了对吗?,因为其实源服务器是和14个cdn节点在通信,但是这14个节点都加上白名单,也不能限速。
不对,很明显源服务器虽然只和cdn通信,但是源服务器的cc防火墙也能拦截客户端ip(因为cdn会把客户端ip当作参数传给源服务器),兼容的防火墙就能通过参数再去防御(限速封禁ip等)。
3-cdn厂商一定要正规或值得信任,因为接入cdn解析,其实用户访问你域名获取的资源,cdn厂商是可以控制的。
被攻击紧急措施
你得理解所有攻击,分析出自己的问题,是漏源站了,还是被cc了,根据情况去防护。
1-如果遇到长时间的ddos,且自己无法解决,为了防止百度等搜索引擎降低seo权重和k站,可以在百度平台提交闭站保护。
2-创建一个静态页面或者通过小飞兔等软件把网站页面以静态的方式都爬取下来;然后挂载在cloudpage或github或者gitee或者vercel上,让用户有静态页面显示,只是不能交互了,(一般有月流量限制),ddos最多刷量,但是刷一个换个号继续部署就行。
这是没钱的学生做法,实际上,保存静态访问很简单,你随便上个cdn,cdn把动态请求关了(比如设置?参数后全部忽略,基本上源站不会被死的,目的相对于全部让cdn去提供服务了,源站只下发一次静态资源给全国各地的cdn节点)
3-平时接入国内cdn线路为默认,接入cf为境外ip服务,当被攻击了,国内没有人机验证的cdn如果防不住cc,就全站接入cf,也就是说国内cdn直接关了,把cf全站接入,禁止国外访问,源站只允许cdn访问。如果需要国内高速访问就花钱接入国内带有滑块验证等人机验证的的cdn。
tips:同一个主机记录,比如主机记录为www,类型为cname,可以设置多个不同的记录值的,线路也可以一样,也就是说可以同时接入多个cdn,dns系统一般会选择最好的一个cdn节点为用户提供服务。
这个只是分担第四层流量,第七次的请求攻击,如果这些cdn没cc策略,你接入一万个都是一样会c到你源服务器。
4-如果源站泄露,找到泄露点修复(比如ssl证书泄露),再更换源ip
5-禁止国外访问,封国外
禁国外是在服务器防火墙层面设置,或者nginx层面,也可以叫cdn封国外;但是在dns封国外没用的,比如你设置个线路境外,返回127.0.0.1,这根本没用,因为dns解析是可以改的。攻击者发现回环了,可能自定义dns解析去攻击你。(当然这是攻击者针对攻击你,小学生用tg的机器人攻击你,没这自定义dns解析的功能)
6-源站设置只允许cdn访问,也就是说把cdn的ip全部加入白名单,其他的直接移除http和https访问。
再次提醒,你必须熟悉各应用如dns,cdn,cos,服务器防火墙,nginx防火墙和各自waf防火墙是部署在哪作用于哪的,如你得知道用户访问你的网站,流量的一步一步是怎么走的,如流量到源站肯定先过服务器防火墙再到nginx防火墙等等,否则搞着搞着网站就出问题打不开了或者各种问题。。
再比如宝塔nginx防火墙付费版就有人机验证waf,但是这个是保护源站的,防止不了cdn被刷量,因为不是cdn的waf,如果你不懂流量走的过程的话,就可能会白买。
其次各大平台配置等大同小异,但是可能有点不一样,建议用功能的时候先看文档,如nginx防火墙等防火墙的白名单肯定是白名单成员不受防火墙的策略限制,比如nginx的cc封禁规则不会封白名单ip,其他用户正常访问也不会拦截,只在触发规则后拦截。但是如果是cdn控制台有一个白名单,比如UA白名单和referer白名单,有可能你设置了,就是只能白名单访问,其他访问者直接是拒绝访问。遇到网站大不了,可以看看是被cdn拦截还是服务器拦截,去分析就行。
7-如果你的业务正规,你可以和另一个公司签一个合同什么的金额写100w(如果你公司网站没有价值,叔叔不管),侧面证明你的网站价值100w,封国外访问,然后被攻击了,直接报警和报网安,直接上门抓人。
8-如果你的cdn和cos被刷欠费,你可以去说明情况,争取减免费用或者减免一半或者三分之二的费用。
9-如果你的服务器被打死了,无法解封,你要保证服务,那么你可以直接用备份恢复到其他服务器即可,如果没有备份,如果你是大厂服务器,你可以通过镜像(永远服务器内所有内容和环境)去恢复,大厂封服务器期间也是可以生成镜像的。
短信防刷
1-在服务商控制台或者本身程序前后端,限制IP和设备和手机号码上限,这些都是基本操作,应该只是增加攻击成本,对大佬来说基本上没啥用,实现自动刷只是时间问题。(有总比没有好,起码增加了攻击成本和门槛)
2-最后的关键点在于使用一个无法自动识别通过的人机识别交互,比如滑块识别验证码等。接入极验。
传统的验证码识别,现在有打码技术,所以需要选用最新的人机交互识别。只要攻击者必须人工识别验证码,无法自动化攻击,那么他也就不会攻击了,因为他的人工成本比我们还高。
站点优化
1-站点速度分为,解析速度+连接速度+下载速度+重定向所需时间
解析速度:
dns解析,这个没办法,一般麻烦的也够用了,你想更快就得去买付费的dns解析,比如四五十一年的那些,在域名服务商解析控制台那里就可以买。
连接速度:
加入cdn,找个稳的好用的cdn
下载速度:
无论再怎么优化站内文件,也和你的服务器配置带宽,和cdn的带宽,和对象存储的带宽等配置相关。
视频统一无损压缩一次,大视频单独进行m3u8切片处理。
小视频没必要进行m3u8切片处理,因为mp4本身也有类似切片的功能,一段1min的视频,大概会切成5份,每份20s,也够用了;进行切片分成如100份,反而画蛇添足。
图片输出为webp(cdn中一般有,cos中也有,或者wp插件也有,但是作用的地方不同,根据需求选择)
重定向:
一般我们会把主域名,比如通过宝塔网站重定向功能,将baidu.com的访问重定向到www.baidu.com,这样有利于seo。(不要在dns中直接用cname配置@到www,没用,不推荐,至于无所谓我知识有限)除此之外的重定向基本都是多余的,我们根据自身情况去优化。可以去网站itdog.cn去查看自己网站的重定向次数。
2-什么nginx优化配置,比如zstd压缩比设置为6,还有那个配置文件内的详细设置,你如果懂,可以自己参考优化;mysql优化配置,还有服务器swap等都可以百度设置一下。
3-使用quic协议的http3,让网站速度更快。20240920,这个时间点支持http3的nginx,宝塔官方是没有的,需要自己去nginx官方找,然后通过防火墙命令安装。如果你用了cdn,cdn也得支持http3才行。
4-加入图片压缩,比如图片上传到cos中,自动把图片全部转为webp格式,可以节省流量,用户访问也快。(有的cdn也有自动下发用户为webp格式图片,但是你cos下发给cdn的还是jpg等,不能节省cos流量)
上传时转化:
方法一:
数据万象,通过数据工作流的方式,检测到cos中有新图片上传过来。自动生成一个webp格式的图,文档:https://cloud.tencent.com/document/product/460/46488(工作流你们我们还可以加入水印或者其他操作,自己去研究下文档即可)
工作流中用到的函数也计费的,但是我们是自己上传的图片转换一次就行了,费用基本忽略不计。
缺点:当前我们用的wp插件上传后,用户上传的是jpg,访问链接就是jpg后缀,我们cos中虽然有了webp,d,但是用户前台访问的链接还是jpg的,需要额外配置用户前台访问图片的后缀。
如何配置用户前台访问图片的后缀?如下代码加入到wp主题文件中的funtions.php的末尾即可
//配合cos工作流使用,作用:将新上传的后缀为jpg,jepg,png的图片转化为.webp后缀链接,输出给前台用户<开始>
function modify_image_url_to_webp($url) {
// 检查图片格式
if (preg_match(‘/.(jpg|jpeg|png)$/i’, $url)) {
// 替换后缀为 .webp
$url = preg_replace(‘/.(jpg|jpeg|png)$/i’, ‘.webp’, $url);
}
return $url;
}
add_filter(‘wp_get_attachment_url’, ‘modify_image_url_to_webp’);
//配合cos工作流使用,作用:将新上传的后缀为jpg,jepg,png的图片转化为.webp后缀链接,输出给前台用户<结束>如下代码只影响新上传的图片,如果你要所有图片都转为webp,那你得先把存储通内图片文件都转化一次,然后自己去研究一下代码,问gpt就像。
注意工作流输出文件名字${InputName}_${RunId}.${ext}设置为${InputName}即可,否则用如上方法改了文件后缀,但是文件名称又不同。
优点:只计费一次转化,cos中就存在webp图片,用户前台直接访问webp文件即可。
方法二:
下载时转化:
方法三:1-打开数据万象后,把前台用户的请求图片链接加上如:?imageMogr2/format/webp的参数即可,用户访问的就是webp图片。(现在Wordpress里面的cos插件基本都支持此功能)
优点:简单,用插件开启就行了,不需要自己写代码配置。
缺点:用户每访问一次,都调用了一次转化api,都要计费一次。
如果你只要图片的水印和转化为webp功能,用方法三就行了,因为水印和webp功能属于基础图片处理,不是按次数计费,而是按流量计费,而且每个月送10tb流量,根本用不完。其他的高级图片处理,按照次数付费的那种,就用方法一和二。
方法三,示例图片转为webp和加上水印:
将水印文字内容进行URL安全的Base64编码。例如,”示例水印”编码后的字符串为5L2g5aW977yM5LiW55WM77yB。
将编码后的水印文字添加到请求URL中,如下所示:
1.png?imageMogr2/format/webp&watermark/2/text/5L2g5aW977yM5LiW55WM77yB/fill/IzNEM0QzRA/fontsize/20/dissolve/50/gravity/SouthEast
其中:
watermark/2 表示当前的处理为文字水印。
/text/5L2g5aW977yM5LiW55WM77yB 是编码后的水印文字内容。
/fill/IzNEM0QzRA 表示水印文字颜色,这里使用的是黑色。
/fontsize/20 表示水印文字大小,这里设置为20像素。
/dissolve/50 表示水印透明度,这里设置为50%。
/gravity/SouthEast 表示水印位置为右下角。其中前面的的?imageMogr2/format/webp是转化为webp的参数,后面是水印参数,用&连接,还有其他需求也用&连接即可。
计费和流量走向:设置用户前台看到的链接就是1.png?imageMogr2/format/webpcos(wp的插件都有这些功能),当用户请求上述链接后,cos先把图片转为webp,要消耗数据万象的基础处理的流量,然后下发给用户客户端,再占用cos下行流量。
5-开启pwa功能,也就是用户断网了,还可以通过本地缓存访问网站,而且有提示用户安装浏览器的你的网站应用的功能。你是WP程序就直接插件搜PWA for WP 作者:Magazine3 |
6-大视频通过切片m3u8格式,或者直接设置用户上传视频大小,或者中小视频给用户提供一个在线视频压缩网站(没办法通过cos压缩,视频压缩太占性能了,cos不通过,以后提供了也很贵,我们服务器去压缩更加不可能)
证书部署问题
1-如果是宝塔看到或服务器明确配置了新证书,但是用户访问就是原先过期的老证书,很可能是用的cdn服务商的证书没更新,需要联系cdn服务商。
2-现在大厂的免费证书都是三个月,而且只保护单域名,虽然每年可以申请二十张,但对子域名多的人来说,属实麻烦,其实有很多地方可以申请免费的三个月通配符证书。
开发常见问题
1-接入qq登录后,我发现百度打开网站qq登录成功后,不跳转回百度,导致登录失败,而其他浏览器可以。
这是因为,大多数浏览器支持 OAuth 回调机制,所以可以正常回调到原浏览器登录,而我用的是百度极速版,它没做兼容,这也没办法,但是一般所有正式浏览器都是支持 OAuth 回调机制的。
2-php和mysql必须编译安装,否则容易出错。(编译安装mysq都得2g内存往上的服务器,如果你就2g,最好先编译安装了mysql再安装其他软件,防止内存不够编译安装mysql)
3-当你换了服务器ip,你原先用到的各方面配置,比如微信的公众号服务里面有一个ip白名单,也得改成你的新ip(平时最好把这些都记住,哪些要改)
微信公众号验证码功能和自动回复等开发功能详情:
但是如果你换了ip还是功能不起作用,或者提交开发者配置信息,提示:请求错误请稍后重试;可以去看看是不是网站有cdn或者防火墙的日志,应该是把微信的请求拦截了。没有拦截的情况下微信会发出如下路径的请求。 /oauth/weixingzh/callback
亚洲 中国 上海】 175.24.214.222 - - [23/Sep/2024:11:21:56 +0800] "POST /oauth/weixingzh/callback?signature=aa237c3fe6b88cc15eed8b489485aefe7efc049e×tamp=1727061716&nonce=1422432825&openid=oFGSd6B5Kuf5jELoJdRdVX0N5pyU HTTP/1.1" 200 480 "-" "Mozilla/4.0"
流程:用户在公众号发送信息:验证码——-微信接收到用户信息,下发请求给你设置的域名回调地址——–你的回调地址服务器接收到请求,回应请求内容(当前服务器必须是微信设置的白名单内)——–微信接收到信息,将内容在公众号聊天框内发送给用户。
4-qq登录后的回调页面,和易支付的支付后回调页面,提示页面不可访问和不存在,但是防火墙和cdn等没有拦截。
去看看防盗链加上qq.com和支付域名试试,cdn的防盗链功能不仅是防止在网站内盗用图片,网站本身就是一个文件,也会被盗用,所以cdn的防盗链可能把文件下发给拦截了。
杂项
tips:不要把网站密码给别人,你要知道各密码的轻重缓急,如:
优先级一:服务器的ssh密码最重要,有这个密码,可以掌握服务器的所有东西,是系统层的最高权限,所以得安装ssh防爆破软件
优先级二:宝塔的账户密码和独立端口和地址,这个密码可以修改你部署所有网站的任何东西,是软件层的权限。
优先级三:数据库密码,这个可以修改你的程序的各用户密码,如果你是wp程序,他就能登录你的程序后台。
优先级四:wp等程序管理员密码,此可以登录你的程序后台对你的某个网站进行修改。
优先级五:优先级五中的某些密码重要程度媲美优先级一,各种配置密码,比如百度内容审核的密钥,和阿里云等的访问控制权限密钥(非常重要),这些一般会记录在wp程序后台中,上述任何密码被被他人窃取进入,优先级五的这些配置密码也得修改。
1-阿里云企业邮箱是可以批量发送信息给客户的,百度教程即可,但是能发没用,容易垃圾箱,像不垃圾箱可能得另外给保护费。
主要看你网站有没有人访问,如果访问的人多,买个快排让用户更好的搜到是可以的,后续有用户数据支撑,百度会维持你的排名,如果快排到前面,没用户点击,一旦不买快排了,又会掉下去。
3-官方支付,APP,小程序,网站等等接口都是不一样的,要分别申请,QQ互联登录等也是一样
4-申请微信pc扫码登录的时候,认证微信开放平台的企业号要先打钱过去,完成了退钱,个人认证简单点,这个不是认证里面的开发者资质,开发者资质要账号通过了再另外认证,另外花300,然后才可以微信扫码登录。
QQ互联登录简单一点,个人注册,然后个人开发者认证也可以用,企业的应该多一些功能。
还有一个微信公众号登录,扫码关注公众号自动登录(和微信pc扫码登录不是一个东西),记住如果网站换了服务器,公众号登录里面要把新的服务器ip加入白名单
反正看文档就行了,一步一步来,有公司的就申请公司的。还有人用聚合登录,也就是自己不需要申请,用的别人的接口登录,别人会申请所有平台,qq,wx,alipay,微博,抖音,xiaomi,谷歌,facebook,github等等各种,你接入他的聚合登录,这些就可以直接用。自己能申请就申请,这些东西掌握在别人手里没必要。
5-seo名词
IP:指独立IP数。即IP地址,一个电脑可能一天换多个IP。
UV:Unique Visitor 指独立访客,即访问您网站的一台电脑客户端为一个访客;每天网站的独立访问,一个IP下可以有多个电脑,那么这多台电脑的独立访问就算是多次的uv。
PV:指页面浏览量,所有的页面被浏览的总次数,一个页面被刷下后PV就会增加1次。
6-搜狗基本上凉了,如果长时间不收录网站,可以搜狗发邮箱
7-购买了一个厂家的服务器,尽量dcdn和存储桶等服务也在同一个厂家购买,方便配置也可以节省些许流量,因为同厂商某些产品都在一个内网,数据交流不要钱。
8-CORS 白名单主要用于控制跨域请求,允许特定域的客户端访问服务器的资源,适用于API和动态交互。
Referer 头更常用于静态资源的引用控制,例如限制其他网站直接引用你的图片或文件。
9-腾讯云阿里云这些大厂凌晨都有客服,有问题去问就行。
10-重装和迁移差不多:
11-cdnfly是一个cdn系统,就像卖云服务的都用智慧魔方系统搭建网站一样,cdnfly是卖cdn的人搭建cdn管理系统的。
12-宝塔面板地址是分大小写的,有时候面板打不开,看一下地址是不是大小写错了
13-有时候你换了解析,ping还是有之前的ip,那是因为cdn的缓存
14-宝塔防火墙和一类cdn防火墙,那种人机验证,都有他们自定义的页面,里面有产品引流,我们可以自己去改了。这只是一个html一样的东西改了没如何影响,防火墙的实际操作比如限流操作是在.lua文件内设置的。
15-我们有时候设置ip地址白名单,发现设置了不起作用,有可能是你的ip变化了,我们的wifi等ipv4地址,前三位一般不变,但是第四位是经常动态分配的。
所以我们可以设置ip段,如111.234.445.1/24或者111.234.45.1——111.234.45.255的形式添加白名单
16-有的机房和cdn自称动态BGP,通俗来说就是他有这个,能让网络更快更稳定。
17-云服务器:能动态提升改变配置和加流量,发布式架构,一台物理机子出问题,他可以调其他的资源来弥补;
轻量云:也算云服务器,但是厂商限制了性能,也都是老机子(就像电脑分i3和i9),而且无法改变配置和流量;
vps:通过一台物理机用虚拟化技术,分出很多个机子给大家使用,但是一台机子出问题,其分出的所有vps机子全部出问题。
虚拟主机:用户没有系统权限,没办法主机安装某个环境比如换php版本,里面的环境和配置和软件都是固定的。
区别:云服务器具有更高的稳定性,因为其采用了分布式架构和冗余备份策略,有效避免了单点故障。
VPS的稳定性相对较低,因为其依赖于单台物理服务器。当物理服务器出现故障时,所有托管在该服务器上的VPS都会受到影响。
tip:云服务器和轻量云和vps基本都有独立ip,但是虚拟主机基本上是共享ip,独立ip很少或者得额外付费。
买服务器等不一定要大厂,但是买的厂家必须有公司和相关资质,小厂家为了利润经常超开超开,比如vps100g的母机只能开50台2g,有的厂商超开到60台,那就相当于实际每个人是跑不满的,只是把其他人没用的资源分配给其他用户使用。
18-百度的内容审核接口,用户上传图片,图片先通过你程序设置的密钥上传到百度,百度返回是否通过,通过则再进入cos。
19-源ip开启就是在提供访问服务的,不设置dns,只是让攻击者不知道源ip,所以无法攻击,但是攻击者溯源到了ip,就可以直接攻击了。
可以在服务器防火墙层面设置只允许cdn节点访问,对方拿到你的源ip也没办法对你进行第四层ddos攻击,那么攻击就只能通过cdn的ip进来,进行第七次的cc的形式攻击,而cdn也有cc防护,所以第七层也攻击不了。
20-远程连接服务器
电脑打开cmd控制台或者git bash等控制台都可以,然后输入以下命令:
ssh username@server_ip_address,其中username是您的用户名,server_ip_address是您的云服务器的IP地址。
21-l
