拒绝 TCP 协议,发现还能访问网站

2016-08-18 10:30:31 +08:00
 woshisongzhe
以前一致认为 HTTP 协议是建立在 tcp 协议之上的,如果禁了 tcp 协议之后,那么就不能访问网站了,现在我尝试把 TCP 协议禁了之后网站也能访问,看来如果网站不是需要保持长连接需要 tcp 协议,那么可以把它禁了,这样,网站安全性就更进一步了
9065 次点击
所在节点    站长
58 条回复
jasontse
2016-08-18 11:22:02 +08:00
mark 等真相
RobertYang
2016-08-18 12:01:44 +08:00
难道你是 QUIC ? 23333
xmh51
2016-08-18 12:51:01 +08:00
坐等真相 阿里云被打脸?? 后台 tcp 被禁 网站还能访问 23333
dndx
2016-08-18 12:54:08 +08:00
楼主这不是高级黑吧。
wsy2220
2016-08-18 12:56:24 +08:00
火钳刘明
woshisongzhe
2016-08-18 13:05:24 +08:00
@jasonyang9 我现在在服务器外套了个均衡负载,但是我把内外网出入口的 tcp 也都封了,但是也是可以访问,感觉非常奇怪,难道通过阿里云的控制端封禁无效?但是我设置其他的比如 22 端口只留下白名单等设置也都有效

@ahhui 直接通过浏览器输入网址以及通过 app 链接都能获取到结果,包括查询数据库等都能获取到正确结果

@iyaozhen 测了,不过访问的是均衡负载的 ip ,但是我明明把所以内外网的出入口的 tcp 全都封了,也能访问到网站,真是奇了怪了

@xmh51 我刚才直接把域名指向后端服务器,吃完饭回来发现又访问不了,但是通过均衡负载那个域名还能访问,问题是我内网也把它给封了的,难道 tcp 对内外不起作用还是说内网采取的不是 TCP 协议?
jy01264313
2016-08-18 13:44:42 +08:00
什么鬼,没听懂?
Citrus
2016-08-18 14:01:50 +08:00
阿里云的负载均衡分七层和四层,目测楼主配了一个七层 HTTP 负载均衡然后把四层全封死了。。。这样不能访问才奇怪呢。。。
Citrus
2016-08-18 14:02:40 +08:00
不过楼主这从现象推原因的逻辑也是挺牛逼的。快去证伪万有引力和牛顿定律吧!
crab
2016-08-18 14:04:02 +08:00
那你 80 端口监听用啥协议啊
zealic
2016-08-18 14:07:10 +08:00
阿里云的防火墙我就不说了,各种逻辑不通顺,封了的端口可以继续访问,出口流量配置允许所有流量无效,必须配置指定的外部入站随机端口端 40000+ 允许才能正常工作
UnisandK
2016-08-18 14:09:06 +08:00
验证到后来楼主变成了阿里黑。。
woshisongzhe
2016-08-18 14:24:25 +08:00
@Citrus 不是,我只配了 4 层的均衡负载

@crab 均衡负载的 80 端口是监听 tcp

@zealic 阿里云的流量、内存、 cpu 抓取的是误差非常大的,你能想象 cpu 的利用率达 100 网站还能打得开么?根据阿里云的抓取,是的,还能打得开,而我抓取的就 8 点几,不知道他们是怎么抓取的,流量我如果抓取了 100Kb/s ,阿里云的抓取肯定达到 500Kb/s 了

@UnisandK 楼主从来不去黑别人
zealic
2016-08-18 14:30:08 +08:00
@woshisongzhe 阿里走的是双向流量收费,本身内网 NAT 貌似也是要收费的;由于它定制了操作系统在内部加入了一些 agent 和内部系统通信和动态更新,所以对于网络防火墙限制有许多例外,总体来说非常恶心。
woshisongzhe
2016-08-18 14:43:29 +08:00
@zealic 问题是他们宣称的单向收费(收取出口流量),但是目前也就是在研究研究,先不管那么多了
FreeDog
2016-08-18 15:10:29 +08:00
那个防火墙不是只针对 CentOS 有效吗?之前看到的提示是那样子,所以就没有用它
qzy168
2016-08-18 15:24:40 +08:00
ban 了 TCP 还能访问网站是什么原理?
whahuzhihao
2016-08-18 15:36:07 +08:00
马克一下 坐等下文
woshisongzhe
2016-08-18 15:46:42 +08:00
@qzy168 现在的情况是,直接指向 ECS 是访问不了网站的,但是通过均衡负载即使后段的内网出入口封了 tcp 后还是能访问,我怀疑是均衡负载的内网 ip 直接与后端的服务器绑上了,无论后端怎么封,都是可以通过均衡负载访问,因为均衡负载没有设置封禁 tcp
mengzhuo
2016-08-18 15:50:33 +08:00
哈哈哈哈 今日最佳笑话!!!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/300084

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX