防止域名被惡意解析

1、何爲域名惡意解析

外部未知的域名持有者，將域名解析到非其所持有的服務器公網IP上，間接或直接形成損害他人利益的行爲。

2、借刀殺人

域名的惡意解析，能夠用於借刀殺人。 這個手法很騷，輕則能夠將對手的SEO排名拉低，重則可讓工信部封殺其站點。

具體實現條件以下：

• 未備案的域名或已被接入工信部黑名單的域名
• 獲取要攻擊的站點，其源服務器使用的公網IP
• 確認要攻擊的網站80端口和443端口能夠直接用IP直接訪問
• 將黑域名解析到該公網IP

危害以下：

• 不一樣域名解析到同個站點，真身域名權重被下降，SEO排名被假域名擠佔
• 非法域名解析，致使源服務器被工信部封殺，網站中止服務

3、解決方法

將無效域名的HTTP請求，所有拒絕響應

如下是個人我的站點的nginx配置

server{
    listen 80 default_server;
    server_name _;
    access_log off;
    return 444;
}

server{
    listen 443  default_server;
    server_name _;
    ssl_certificate   cert/www.wangxiaokai.vip.pem;
    ssl_certificate_key  cert/www.wangxiaokai.vip.key;
    access_log off;
    return 444;
} 
複製代碼

3.1 篩選無效域名

server_name _;
複製代碼

這個表明的就是無效域名，_符號能夠用-或!@#代替，均可以達到相同的效果。

3.2 不記錄訪問日誌

access_log off;
複製代碼

訪問日誌是須要存儲空間的，若是沒有設置自動清理腳本，也是能夠把服務器存儲空間打爆的。

3.3 不處理無效域名的請求

return 444;
複製代碼

444是Nginx服務器擴展的HTTP錯誤狀態碼，爲非標準HTTP狀態碼。 它的做用是：服務器不向客戶端返回任何信息，並關閉鏈接, 斷開客戶端和服務器的鏈接，防止惡意軟件攻擊威脅。

3.4 一些細節

這兩個server模塊，應該放在最前，優先處理。

---

喜歡我文章的朋友，能夠經過如下方式關注我：

• 「star」 或 「watch」 個人GitHub blog
• RSS訂閱個人我的博客：王先生的基地