接入DDoS高防后源服务器IP暴露了怎么办？

很多互联网企业的服务器在接入高防后，仍然被DDoS攻击，将服务器打入“黑洞”，但高防后台却又看不到攻击流量数据，这说明攻击绕过DDoS高防直接攻击了源服务器IP，说明源IP地址可能已经暴露。因为很多互联网企业在接入高防前就被攻击过，被抓取到了源IP，这时虽然接入高防可以隐藏源IP，但攻击者直接攻击之前抓取到的源IP，这个时候就必需更换源站服务器的IP地址了。
 
一、首先排查源IP暴露的原因

墨者安全首席安全顾问“孤之剑”建议，在更换源站服务器的IP地址前，首先要排查源IP暴露的原因，确认好已经消除了所有可能暴露源站IP的因素，避免源站IP更换后再次暴露。可以从以下方面进行排查：

1.源站服务器上是否存在木马、后门等安全隐患。
2.源站服务器上是否存在没有配置DDoS高防的其他服务，例如邮件服务器的MX记录、BBS记录等除Web记录以外的记录。
3.检查网站域名的DNS解析记录，确认没有任何记录直接解析到源站服务器的IP地址。
4.是否存在网站源码信息泄露。例如phpinfo()指令中可能包含的IP地址等泄露。
5.是否存在恶意扫描。可以在配置DDoS高防后设置源站保护，在源站服务器上只放行DDoS高防回源IP的入方向流量。
 
二、更换源站IP

确认已消除所有可能暴露源站IP的因素后，可以更换源站服务器的IP地址。更换源IP可能会使业务暂时中断几分钟，墨者盾首席流量专家安大师建议在操作前先备份好数据。不同服务器运营商操作方式可能有所区别，但总体差别不大，这里以阿里云为例，具体操作步骤如下：

1.登录服务器管理控制台。
2.前往接入>网站页面，单击更换ECS IP。
3.更换IP需要将ECS停机，在管理控制台实例列表中找到目标ECS实例，单击其实例ID，在实例详情页，单击停止。
4.返回更换ECS IP对话框，输入ECS实例ID，并单击下一步。
5.确认当前ECS实例信息准确无误（尤其是ECS IP）后，选择更换IP后是否立刻重启ECS，并单击释放IP。
6.成功释放原IP后，单击下一步，为该ECS实例重新分配IP。
7.ECS IP更换成功，单击确认，完成操作。
 
如果不想更换源站IP或已经更换过源站IP但是仍存在IP暴露的情况，也可以通过在后端ECS服务器前部署一台负载均衡SLB服务器，使用以下网络架构：客户端->DDoS高防->SLB->ECS。采用这种架构后，即使攻击者直接攻击源站，导致源站IP被黑洞，通过DDoS高防访问服务器依然不受影响。因为负载均衡服务器到源站的访问流量通过内网传输，即使源站IP被黑洞，DDoS高防实例的IP仍然可以通过负载均衡服务器访问源站。


关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。