背景
我们购买的云服务器都有一个外网ip, 可以直接通过这个外网ip访问在云服务器上搭建的网站。我们通常也会购买一个域名来绑定这个外网ip。正常情况下,是通过域名访问网站的。 [t-warning icon='']那么,什么是恶意解析或域名恶意绑定呢?[/t-warning] 如果我们的网站内容还是不错,就会有别有用心的人购买新域名,然后绑定到我们的外网ip, 然后,通过他们的新域名就可以访问到我们的网站,搜索引擎就会收录他们的域名。 那么,恶意绑定的原理是什么呢? 本质上通过外网ip能够直接访问网站。
解决
方案1
在已有的网站上设定策略,禁止IP和非本网站的域名的访问,直接返回404或444。不需要修改nginx的配置,直接修改网站的配置文件,如下图: 代码如下:
方案2
方案1,虽然能解决网站的恶意解析的问题,如果部署多个站点,每个站点都需要单独配置。有点麻烦。 方案2的思路通过一个创建一个默认站点来对非法域名或IP进行拦截。
1 创建一个空的站点,如下图: 2 将www.empty.com空站点改为默认站点,如下图:
3 开启https防窜站。 HTTPS防窜站功能主要是为了解决指定了非SSL默认站点时,未开启SSL的站点使用HTTPS会直接访问到已开启SSL的站点的问题。因此,需要开启https防窜站。如下图:
4 空白站点开启ssl。 空白站点配置假SSL证书,如下图:
并强制开启https。假证书密钥如下:
假证书如下:
5 空白站点非法访问,配置4444或404错误码。如下图: 6 nginx重载配置,然后,浏览器内输入https://ip,空白站点就会接管该请求,并返回444错误码。如下图:
后记
本文,阐述了什么是恶意解析或域名恶意绑定,对于一个网站而言,如何防止恶意解析或恶意绑定,给出了两种解决方案,方案1是针对单站点的做法,并且配置简单。但是,对于多站点最好的是方案2,虽然配置繁琐,但是一劳永逸,对于后续新增的站点,不会存在恶意解析的问题。推荐方案2。
欢迎关注公众号和访问网站,了解更多技术资讯:
评论区