https大法好——论杉果防恶意解析加强

技术生活

大约一年前,也就是2016年11月左右,因为刚开始接触作战、dns解析相关的东西。所以了解了一些杉果官网的架构,当时有www、help、forum、store等域名,防护不足、不论什么域名,甚至是从ip访问都能直接打开杉果的网站页面,没有500防护,但是除了北京的bgp外还有一台杭州网通的机器,还有其他几个做了500的域名,不知道为啥生产没防护。

那时候试过用使用sonkwo.drscrewdriver.top解析到北京bgp,打开网页也是那么回事。不过呢因为内部链接不是相对链接而是绝对链接,点击后还是回到杉果主站。

最近发现杉果主站有了一些小变化,虽然云客服还是使用的kf5.com创逸云客服。但是主站访问在非官网地址上都加了301.而且加上了https,那就没有dns欺骗之类的风险,交易安全和账户隐私安全也能扩大到全站。

但是301毕竟是跳转,想想一下,如果假设某站收到攻击,把域名解析到杉果的ip上,那么服务器不光要消耗进行跳转的资源开销,还有www万维网服务一并收到印象的风险。

上面的小隐患爆发的可能性不大,若是真的发生了,就要看BGP机房的防火墙、内部负载均衡(日均流量不小应该是有负载均衡措施的)

继续阅读