看上了360网站卫士和加速乐这两款CDN，申请使用时被保安打了出来，因为没有备案不让用。

今天就分析一下所谓的网站卫士到底能不能起到安全作用。

加速乐不说了，毕竟其主打的还是CDN加速，实在。说说360，你CDN就CDN，非得拿安全做噱头，起个山炮名叫网站卫士。其实CDN和反向代理本身就能起到一定的安全防护作用，最大的作用就是能起到一定的防DDOS作用。360的文案说的就好像是它创新了一样。

至于防跨站防注入，其实就是在CDN那层过滤一下用户请求，将危险字符过滤掉。防挂马功能和普通的挂马检测一样，按特征码抓贼的。360网站卫士除了那200G很唬人外，其它功能毫无新意。

那用了360网站卫士就不会被入侵不会被DDOS了么？真相是再脑残的黑客也懂得绕过CDN直接渗透网站的服务器。DDOS的话找到网站真实IP，D就行了。入侵的话找到真实ip，不让IP直接访问就本地host绑定目标域名，网站卫士就等于不存在了。

找真实IP的方法很多，总有一招是有用的。对于多层架构的CDN来说，常见的tracert等方法是找不到真实ip的。

www法

以前我用CDN的时候有个习惯，只让WWW域名使用cdn，秃域名不适用，为的是在维护网站时更方便，不用等cdn缓存。所以试着把目标网站的www去掉，ping一下看ip是不是变了？

二级域名法

目标站点一般不会把所有的二级域名放cdn上，比如试验性质地二级域名。Google site一下目标的域名，看有没有二级域名出现，挨个排查，确定了没使用cdn的二级域名后，本地将目标域名绑定到同ip，能访问就说明目标站与此二级域名在同一个服务器上。

不在同一服务器也可能在同C段，扫描C段所有开80端口的ip，挨个试。

如果google搜不到也不代表没有，我们拿常见的二级域名构造一个字典，猜出它的二级域名。比如mail、cache、img。

nslookup法

查询域名的NS记录，其域名记录中的MX记录，TXT记录等很有可能指向的是真实ip或同C段服务器。

工具法

这个工具http://toolbar.netcraft.com据说会记录网站的ip变化情况，通过目标网站的历史ip地址就可以找到真实ip。没亲自测试，想必不是所有的网站都能查到。

墙外法

很多国内的CDN没有节点对国外服务，国外的请求会直接指向真实ip。有人说用国外NS和或开国外VPN，但这样成功率太低了。我的方法是用国外的多节点ping工具，例如just-ping，全世界几十个节点ping目标域名，很有可能找到真实ip。

钓鱼法

不管网站怎么CDN，其向用户发的邮件一般都是从自己服务器发出来的。以wordpress为例，假如我要报复一个来我这捣乱的坏蛋，坏蛋使用了CDN，我要找到它的真实ip以便DDOS他。我的方法是在他博客上留言，再自己换个名回复自己，然后收到他的留言提醒邮件，就能知道发邮件的服务器ip了。如果他没开提醒功能，那就试试他是不是开启了注册功能，wordpress默认是用邮件方式发密码的。

思考一下，还有哪些信息是不通过CDN返回给用户的呢？

总结一下，将网站安全依赖于CDN只会让网站的安全外紧内松，脱离网站本身的安全防护都是不科学的。但360网站卫士的节点确实不少，如果想给站点加速的话，大可以尝试一下。