使用高防服务器或者高防CDN后为什么还会出现源站IP被打

近来站长们应该基本都遇到过 DDOS 攻击，特别是 CC，如果放任不管，会导致服务器资源紧张，导致用户无法正常访问。有时间就算接入了高防服务器，源站 IP 还是被打，网站打不开。

为什么出现源站 IP 被打这种情况？出现源站 IP 被打怎么办？

在使用 DDoS 高防服务后，如果还存在攻击绕过高防直接攻击源站 IP 的情况，那么就是源站IP暴露了，需要更换源站 IP。在更换源站 IP 之前，要确认已消除所有可能暴露源站 IP 的因素。

1、自己检查源站服务器中是否存在木马、后门之类的安全隐患，比如是不是安装随意下载的主题和插件。

2、源站 IP 是否存在一些其他的服务没有配置高防 IP 服务，比如邮件服务器的 MX 记录、bbs记录等除 Web 以外的记录；检查 DNS 解析的全部内容，看是否有记录解析到源站IP。

3、是否存在网站源码信息泄露，要使用 WordPress、Drupl等官方放出的程序，不要到下载站下载。

4、是否存在某些恶意扫描情况。您可通过在源站上只允许高防回源 IP 来防护；

5、检查在 CDN 是否有搜索引擎回源，通过 Censys  这个工具可以轻易查到源站 IP。

SSL证书如何导致源站IP泄露？

综上所述，Censys扫描全球在线IP，包括端口、证书、元数据，此时censys数据库中已经存储了大量相关数据。攻击者先获取CDN的域名，查询域名的相关SSL证书信息，结合Censys语法进行查询，censys数据库中存储了大量源站IP的证书信息，利用这些信息与攻击者输入的证书信息匹配，存在相关性，那么就把这些IP作为域名的源站IP。
因此，证书是网络中非常可靠的“身份标识”，可以跨域名和IP进行关联。

如果源站 IP 被打，建议先更换源站IP，然后再接入高防防护，一般源站暴露了，接入高防就会出现攻击绕过高防直接攻击源站的情况，然后就造成了源站被打，高防无效的情况。