我有一台线路服务器通过Haproxy TCP 反向代理了Cloudflare IP,用于加速我另一台服务器上的网站。
但是近期突然发现有些时间段会出现流量偷跑的情况,目前我已经完全修改了DNS记录超过48小时,应该不是正常网站流量,怀疑可能是被拿来干坏事了
但是我的haproxy配置中验证了SNI白名单,符合要求的SNI域名才能正常访问,就算是这样貌似还是被抓住漏洞了,这是我的配置文件,如果有懂得大佬帮忙检查一下是哪里出问题了
frontend https_frontend
bind *:443
mode tcp
tcp-request inspect-delay 5s
tcp-request content accept if { req_ssl_hello_type 1 }
# 如果没有sni,则拒绝
tcp-request content reject unless { req_ssl_sni -m found }
acl is_x.example.com req_ssl_sni -i x.example.com
acl is_a.example.com req_ssl_sni -i a.example.com
tcp-request content reject unless is_a.example.com or is_x.example.com
default_backend default_https
backend default_https
server cloudflare1 104.18.28.7:443 check
不太了解什么偷域名,有懂得大佬能帮忙分析一下有可能被偷域名了吗
应该不是你配置的问题,自己搭建反代CF是很可能被别人扫到然后当成优选IP的。
很多不在CF官方列表的优选IP都是自己搭建被扫出来的
@anyone7410 #2 我在配置中限制了SNI验证,按理说只有我的域名才能使用的
@baiiylu #4
这就不知道了
@anyone7410 #3 如果拿来当成网站加速之类的,应该会被我的配置拒绝掉,但是目前来看还是被偷跑了
我不太了解新的什么reality可以偷域名,我现在在想这种情况会不会被偷域名然后偷跑啊
sni是可以通过证书看到的
@xqdoo00o #7 看到也没事啊,如果他不能伪造SNI,就无法通过我的规则自己使用的
@baiiylu #8 😂是不是reality偷证书,sni设置成你的域名了
思路应该是没错,不知道了