最近发现 Cloud Flare 节点近乎于无敌般的存在。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

如果你希望学习 CDN 相关知识，那么建议你可以遍历以下软件的说明文档。

› NGINX

› cURL

这是一个创建于 3000 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近在 D 一个站后来换来换去它换去了 Cloud Flare 的节点。

小研究……多方面了解了一下， Cloud Flare CDN 近乎于无敌般的存在。

D 不动 C 不死

好厉害！

源 IP 完全找不到……

Flare

cloud

无敌

节点

34 条回复 • 2016-09-03 11:44:14 +08:00

Cavolo

2016-08-19 08:38:50 +08:00 via iPhone

D 还光明正大来说了

moname

2016-08-19 08:40:43 +08:00 via iPhone

这么牛，，，估计是收费版，，，免费版的能搞死。

kkzxak47

2016-08-19 08:41:10 +08:00 via Android

哈哈，这是软文吧。

jasontse

2016-08-19 08:44:52 +08:00 via iPad

Anycast 导致你所有的肉鸡都是在各打各的，没有办法集中火力攻击一台。而且由于 Anycast 导致所有的流量都是在最近的节点上，对方防御的入口带宽成本也很低。

Xname

2016-08-19 08:45:17 +08:00

@Cavolo 那还偷偷摸摸的了？

@kkzxak47 不是软文。只是无奈随便说说 ………^.^

Xname

2016-08-19 08:46:39 +08:00

@jasontse cf 一个站 2 个 IP 如果能 D 掉其中一个也好。估计 D 掉一个怎么也得百 G 以上吧 ……哎

UnisandK

2016-08-19 08:47:19 +08:00

向 CF 投诉版权问题的话 CF 会拒绝背锅并朝你扔出一只源 IP ，“我们只是 CDN 你要找找他们机房去”

Xname

2016-08-19 08:49:35 +08:00

@UnisandK 那不是国内 CDN 的做法吗。国外 CDN 也会这么做吗？

jasontse

2016-08-19 08:49:36 +08:00 via iPad

@Xname 一个 IP 对应全球所有机房都有机器，各地不一样， SFO 的肉鸡只能打 SFO 的节点。

yexm0

2016-08-19 08:57:37 +08:00 via Android

@Xname 会的.

princeofwales

2016-08-19 08:59:29 +08:00

OVH 号称的 480G ，楼主能 D 得动吗？

alex321

2016-08-19 09:02:15 +08:00

当年某组织试过玩这货啊，然后以组织的能力都石沉大海了，一点响动都没。

Xname

2016-08-19 09:02:40 +08:00

@princeofwales 大胯累折了也 D 不动啊

popu111

2016-08-19 09:08:19 +08:00

这事不道德我还是不提怎么获取源 IP 了，当然估计楼上很多人都知道

Xname

2016-08-19 09:18:48 +08:00

@popu111 简单的网站 CNAME 解析没有注册没有邮件

你说怎么获取 IP 方式试了很多

Xname

2016-08-19 09:18:58 +08:00

@alex321 必然……

RqPS6rhmP3Nyn3Tm

2016-08-19 09:26:19 +08:00 via iPhone

CF 确实相当好，不过还是有不足
推荐楼主先去 D gov.cn 练手，能把这个站 D 掉基本就能搞定 CF 了

indust

2016-08-19 09:33:14 +08:00 via Android

@BXIA 然后楼主就被抓了(

xuhaoyangx

2016-08-19 09:39:02 +08:00

@Xname 扫描所有 ip 端-。-，前提是他没封除 CF 之外的连接

pierrec

2016-08-19 09:41:43 +08:00

@indust 层主也会被抓，怂恿他人犯罪

Xname

2016-08-19 10:07:40 +08:00

@indust 那都是故事哈哈

@xuhaoyangx 所有 IP ？

@pierrec 依然是故事哈哈

popu111

2016-08-19 10:09:33 +08:00

@Xname zmap ，（据说）能在 1 小时内扫全网

youyoumarco

2016-08-19 10:43:01 +08:00

@Xname v 站 heike 好多。

xuhaoyangx

2016-08-19 11:31:10 +08:00

@Xname 楼下已经说的差不多了，扫描全网的 ip ，分析头部信息，是分析的的到的。

yexm0

2016-08-19 11:36:03 +08:00 via Android

可以先用 zoomeye.org 看看能不能碰运气。

xiaozhizhu1997

2016-08-19 12:34:45 +08:00 via Android

要不为什么好多国外擦边站(PT 站、擦边组织如 hackforums 、甚至 TPB)都用 CF 呢…

ZE3kr

2016-08-19 13:44:24 +08:00

@popu111 @xuhaoyangx 那还是用 IPv6 是不是就能杜绝被扫到的危险了？主机完全禁用外部 IPv4 访问， IPv6 每一位都不是 0 而是随机的 16 进制的话。用 CF 绑定 IPv6 ，不影响 IPv4 访问。

https://www.cloudflare.com/abuse/form

CloudFlare is a pass through network that caches content for a limited time only. We do not provide hosting services for any website. CloudFlare will notify the site owner and, where appropriate, the web hosting provider for the site in question.

差不多就是 @UnisandK 说的 “我们只是 CDN 你要找找他们机房去”，免费版没准就把 IP 给了。

popu111

2016-08-19 13:48:30 +08:00

@ZE3kr 那还不如上个白名单阻止 cf 之外的访问

Xname

2016-08-20 02:45:37 +08:00

@ZE3kr 66666666

ZE3kr

2016-08-20 06:12:57 +08:00 via iPhone

@popu111 在路由器上设置的话，只允许 CF 的 IP 会不方便自己 ssh 什么的吧，何况自己的 IP 还是会变的。哦对了，前提是自己要有 IPv6 网络。

ZE3kr

2016-08-20 06:15:48 +08:00 via iPhone

@ZE3kr 在路由器上设置等同于在硬件防御装置 /防火墙上设置

kamin

2016-08-31 00:33:11 +08:00

@ZE3kr CF 有提供 IPTABLES 方案，只允许 443 和 80 端口访问。 https://support.cloudflare.com/hc/en-us/articles/200169166-How-do-I-whitelist-CloudFlare-s-IP-addresses-in-iptables-

kamin

2016-08-31 00:33:53 +08:00

@ZE3kr 只允许 CF 的 ip 访问 80 和 443 端口，其他端口不受限制。

ZE3kr

2016-09-03 11:44:14 +08:00

@kamin 这个我知道，但是如果是在操作系统上设置效率不会很高，很多 VPS 也不给提供防火墙功能，如果可以还是在防火墙上配置端口和 IP 段限制，但是终究都是基于 3 层或以上的层级防御，还是能专门针对你的服务器搞。

但是如果能有 IPv6 ，比如被分配到的是一个 /64 的 IPv6 ，那么 IP 之后的很多位就可以随机设置（/64 约有 2^64 种可能），应该极难被探测到， IP 都不能知道，相当于就是直接在第二层做防御，除非把你的服务商整个搞掉，或者把 CF 搞掉才有效果，所以这样做肯定是最强力有效的。

最近发现 Cloud Flare 节点 近乎于无敌般的存在。

最近发现 Cloud Flare 节点近乎于无敌般的存在。