服务器被攻击，上了 CDN 但源站 IP 还是会被很快知道，求问可能是哪个环节出了问题？

源站通过白名单给 cdn 地址提供服务，隐蔽性可以好很多

还有一种可能是 ddos 击穿了

会给用户发送邮件么？邮件是很容易暴露源地址的

用的是云服务器吗？如果是云服务器，可以在安全组设置仅白名单访问，把阿里云 CDN 和 Cloudflare 的 IP 段放进白名单，这样就算对方知道 IP，流量也进不来

@eason1874 会进云服务器供应商的小黑屋吧，除非你买了它的高防。

被扫域名了吧？会不会是个别子域名有绑定了真实 IP ？

@alexmy 大流量到一定时间应该会进小黑屋。不过流量进不来，没有响应内容，坏人没办法确定这个 IP 有没有在用，顶多打一会儿吧。当然，同时也是要尽量隐藏 IP 的。

可以去拜读一下查找 cdn 真实 ip 地址的文章，现在很多空间搜索互联网资产的。比较稳妥的方法应该是换一个新 ip，然后服务器设置只接收 cdn 白名单的流量

先把服务器防火墙设置成只允许来自 CDN 的 IP 段访问 80 、443 端口吧，再看访问日志找攻击来源

"我在网上搜相关信息，看到说用 https://ip 地址 是会暴露出源站 IP 的。但这不是也得先扫到这个 ip 才行吗？在我的理解里这应该至少需要一段时间。"

你看错了吧， 是 https://ip 能曝出默认的 ssl 域名。https://ip 本身就已经有 IP 了，还暴露啥

“可是我服务器被攻击后换了 IP，第二天马上新 IP 也被攻击了。”
每个运营商的 IP 总数是有限的，如果你没换运营商，没换区， 就更容易了。从头到尾再过一遍就好了。几个小时顶多了。

“我本来想按照网上教程设置一下禁止 ip 用 https 访问，但一直设置不对，总是会连域名的 https 访问都失败。”
可以告诉你设置的方法，楼上一些网友也说过了。 但是这个方案不能解决问题，所以没有讨论的必要。

再扫 IP 的方法如下（随便举个例子）：
https://serverfault.com/questions/443949/how-to-test-a-https-url-with-a-given-ip-address
这里 curl 可以覆盖 dns 请求按照指定的 IP 访问某域名。
锁定你服务器运营商的 IP 段，用你的域名挨个 IP 试，如果能连上了，并且证书也对的话，就找到你新的 IP 了。

解决方案只有一个，用防火墙 /iptables 只允许你的 cdn 们访问你的 443 端口。如果你还有别的服务需要用 443， 你就换成别的端口，反正你有 CDN 。

@Eleutherios #11 要是被定向扫这种不行，毕竟你要让给个域名让 cdn 回源。只能这样：
1.cdn 回源的域名和挨打的真实域名不一样，是一个无法被猜测的域名，让攻击者想不到也扫不出来。
2.和 #3 一样加白名单。

search.censys.io

全 ip 扫描

我自己写的扫描器扫描大陆全网段只要半天

1. 设置默认所有的域名 return 444; 并配置一个自签名的和你域名无关的 SSL 证书。
2. 设置真正域名的正常访问，并加以限制,如果是 cloudflare，可以设置 IP 白名单，或者设置需要客户端 SSL 证书。
3. 隐藏 whois 信息，如果国内备案就没有办法隐藏备案信息了。

@asdqwe876 不是有现成的工具么。

web 程序是不是被挂马了，或是代码、或被植入可以获取 ip 的语句

dns 历史记录，rss 订阅或者可以向外发送邮件，像钟馗之眼和 fofa 这种全球采集的 ip 后，也是可以通过 http.body title 找到源站的

网页图标搜索, 建议源站仅 CDN 可访问

nginx 的 ssl_reject_handshake 可以防止证书信息泄露。

干脆用 cloudflare argo tunnel，源站不开端口