网友评价360网站卫士的实际效果
- 来源:互联网 原创,转载,摘录,分享
- 时间:2013-04-25
- 阅读: 次
- 本文标签:360网站卫士
今天就分析一下所谓的网站卫士到底能不能起到安全作用。
加速乐不说了,毕竟其主打的还是CDN加速,实在。说说360,你CDN就CDN,非得拿安全做噱头,起个山炮名叫网站卫士。其实CDN和反向代理本身就能起到一定的安全防护作用,最大的作用就是能起到一定的防DDOS作用。360的文案说的就好像是它创新了一样。
至于防跨站防注入,其实就是在CDN那层过滤一下用户请求,将危险字符过滤掉。防挂马功能和普通的挂马检测一样,按特征码抓贼的。360网站卫士除了那200G很唬人外,其它功能毫无新意。
那用了360网站卫士就不会被入侵不会被DDOS了么?真相是再脑残的黑客也懂得绕过CDN直接渗透网站的服务器。DDOS的话找到网站真实IP,D就行了。入侵的话找到真实ip,不让IP直接访问就本地host绑定目标域名,网站卫士就等于不存在了。
找真实IP的方法很多,总有一招是有用的。对于多层架构的CDN来说,常见的tracert等方法是找不到真实ip的。
www法
以前我用CDN的时候有个习惯,只让WWW域名使用cdn,秃域名不适用,为的是在维护网站时更方便,不用等cdn缓存。所以试着把目标网站的www去掉,ping一下看ip是不是变了?
二级域名法
目标站点一般不会把所有的二级域名放cdn上,比如试验性质地二级域名。Google site一下目标的域名,看有没有二级域名出现,挨个排查,确定了没使用cdn的二级域名后,本地将目标域名绑定到同ip,能访问就说明目标站与此二级域名在同一个服务器上。
不在同一服务器也可能在同C段,扫描C段所有开80端口的ip,挨个试。
如果google搜不到也不代表没有,我们拿常见的二级域名构造一个字典,猜出它的二级域名。比如mail、cache、img。
nslookup法
查询域名的NS记录,其域名记录中的MX记录,TXT记录等很有可能指向的是真实ip或同C段服务器。
工具法
这个工具http://toolbar.netcraft.com据说会记录网站的ip变化情况,通过目标网站的历史ip地址就可以找到真实ip。没亲自测试,想必不是所有的网站都能查到。
墙外法
很多国内的CDN没有节点对国外服务,国外的请求会直接指向真实ip。有人说用国外NS和或开国外VPN,但这样成功率太低了。我的方法是用国外的多节点ping工具,例如just-ping,全世界几十个节点ping目标域名,很有可能找到真实ip。
钓鱼法
不管网站怎么CDN,其向用户发的邮件一般都是从自己服务器发出来的。以wordpress为例,假如我要报复一个来我这捣乱的坏蛋,坏蛋使用了CDN,我要找到它的真实ip以便DDOS他。我的方法是在他博客上留言,再自己换个名回复自己,然后收到他的留言提醒邮件,就能知道发邮件的服务器ip了。如果他没开提醒功能,那就试试他是不是开启了注册功能,wordpress默认是用邮件方式发密码的。
思考一下,还有哪些信息是不通过CDN返回给用户的呢?
总结一下,将网站安全依赖于CDN只会让网站的安全外紧内松,脱离网站本身的安全防护都是不科学的。但360网站卫士的节点确实不少,如果想给站点加速的话,大可以尝试一下。
相关文章
本文链接:http://www.it892.com/content/security/pingce/20130425/4388.html