一、域名恶意解析

有人恶意将黑域名解析到你的服务器公网IP上。

二、借刀杀人

域名的恶意解析,可以用于借刀杀人。 这个手法很骚,轻则可以将对手的SEO排名拉低,重则可以让工信部封杀其站点。

具体实现条件如下:

  • 未备案的域名或已被接入工信部黑名单的域名

  • 获取要攻击的站点,其源服务器使用的公网IP

  • 确认要攻击的网站80端口和443端口可以直接用IP直接访问

  • 将黑域名解析到该公网IP

危害如下:

  • 不同域名解析到同个站点,真身域名权重被降低,SEO排名被假域名挤占

  • 非法域名解析,导致源服务器被工信部封杀,网站停止服务

三、解决方法

将无效域名的HTTP请求,全部拒绝响应

以下是我的个人站点的nginx配置

server{ 
	listen 80 default_server; 
	listen 443 default_server; 
	server_name ; 
	sslcertificate cert/www.wangxiaokai.vip.pem; 
	ssl_certificate_key cert/www.wangxiaokai.vip.key; 
	access_log off; 
	return 444; 
}

default_server; 代表默认无匹配的时候由当前的server处理。

server_name _;代表无效域名。

合起来的意思就是,其他server没有匹配的,全部由当前server进行匹配处理。

该server匹配到之后,处理的结果就是直接返回444状态

而前端收到的效果就是ERR_HTTP2_PROTOCOL_ERROR错误了。

配置完毕后输入nginx -t 检测通过后,通过service nginx reload刷新配置就可以生效了。

这个时候我们通过http://ip 或者https://ip 都将无法正确访问了。

所有的访问就必须通过域名才能访问了,通过ip地址的请求都将会打回。