V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
tony4god
V2EX  ›  程序员

怎么防止用 cname 绕过了 cloudflare 的 WAF

  •  
  •   tony4god · 2023-07-28 23:38:19 +08:00 · 2223 次点击
    这是一个创建于 519 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大家好,我有一个 A 域名,托管在 cloudflare ,本来是设置了一些 WAF 规则。 但是最近我发现 nginx 的日志出现了 B 域名的访问记录。 所以我自己测试了下,我用 C 域名设置 cname 规则到 A 域名上,就可以绕过 A 域名上面设置的 WAF 规则,即使 WAF 规则明确包含了 hostname 只能是 A 域名也没用,比如:

    ( http.host ne "a.com") Then take action "Block"

    请教大家,除了在 nginx 上匹配空域名返回 403 外,cldouflare 有什么设置可以解决这个问题?

    14 条回复    2023-07-29 09:37:08 +08:00
    tony4god
        1
    tony4god  
    OP
       2023-07-29 00:03:13 +08:00
    WAF 上的访问速率限制也失效了。
    kokutou
        2
    kokutou  
       2023-07-29 00:04:48 +08:00 via Android
    b 域名经过了 cf 吗。。。
    是不是你的源 ip 泄露了 。。。
    tony4god
        3
    tony4god  
    OP
       2023-07-29 00:06:35 +08:00
    @kokutou #2 没有呢,我自己用 C 域名在浏览器测试了,可以绕过,不需要知道原 ip
    cnrting
        4
    cnrting  
       2023-07-29 02:02:25 +08:00 via iPhone
    是人家在他自己的 cf 后台将 B 域名 A 记录指向了你的 ip ,除了换 ip 没别的办法
    Byzliu
        5
    Byzliu  
       2023-07-29 02:25:05 +08:00 via Android
    IP 泄露了
    serafin
        6
    serafin  
       2023-07-29 06:50:32 +08:00
    B 域名上面设置的 WAF 。CF 这么设计没问题
    serafin
        7
    serafin  
       2023-07-29 06:52:33 +08:00
    只有两域名都是同一个 CF 账号下才可以。其他人设置 cname 并不可以绕过了 cloudflare
    icy37785
        8
    icy37785  
       2023-07-29 07:13:23 +08:00 via iPhone
    单纯的源站 IP 暴露了。换个 IP 吧
    centralpark
        9
    centralpark  
       2023-07-29 07:49:54 +08:00
    就是 IP 泄漏了呀,有好多网站可以查 DNS 历史记录的,换 IP 吧,别的都没用
    hymzhek
        10
    hymzhek  
       2023-07-29 07:55:16 +08:00
    把域名 A B 都放在同一个 vhost 配置里 即一个网站配置两个域名 反正都用 cdn 用错域名 就证书错误
    hymzhek
        11
    hymzhek  
       2023-07-29 08:00:05 +08:00   ❤️ 1
    上边想错了 nginx 只配置 A 域 nginx server_name _ 同时监听 80 443 开启 ssl_reject_handshake on
    用 B 域名访问会出现 Invalid SSL certificate 的 cf 层面会拦截的
    tony4god
        12
    tony4god  
    OP
       2023-07-29 08:10:08 +08:00
    也只能是 A 记录指向了我的 IP 了,只是。。。
    我昨天下午刚买的新 vps😱
    neutrinos
        13
    neutrinos  
       2023-07-29 09:35:13 +08:00 via iPhone
    vps 上白名单 cf 的 ip ,其它 ip 禁掉
    neutrinos
        14
    neutrinos  
       2023-07-29 09:37:08 +08:00 via iPhone
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1362 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:42 · PVG 01:42 · LAX 09:42 · JFK 12:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.