信息安全 - 三个以上的域托管在同一个 IP 地址上 - 吾爱随笔录

三个以上的域托管在同一个 IP 地址上

信息安全 dns ip 网站 aws 谁是

2021-09-07 10:09:00

我不是故意在我的网站上查找了反向 IP 地址，它显示我的服务器上托管了其他三个网站，现在我很担心。

我的网站是 arturofm.com，这是查找：

https://reverseip.domaintools.com/search/?q=arturofm.com

它说：

反向 IP 查找结果 — 超过 3 个域托管在 IP 地址 104.27.182.86

这意味着什么？我被黑了？或者亚马逊 AWS 使用相同的 IP 地址来服务多个域？

4个回答

这不是您的服务器出现问题的迹象。这里有一个重要的细节，那就是：

104.27.182.86 不是你的服务器。该IP属于cloudflare。

Cloudflare 为网站提供大量服务，位于公共互联网和服务器之间。使用 Cloudflare 的人不会将他们的 DNS 指向他们自己的服务器——他们将他们的 DNS 指向 Cloudflare，然后将 Cloudflare 指向他们的服务器。因此，数以百万计的网站指向 Cloudflare 的 IP 地址。因为他们服务的网站多于 IP 地址，所以他们经常将多个网站定向到同一个 IP 地址。

显然您使用 Cloudflare，因此您的域的 DNS 指向它们，而不是您自己的 IP 地址。设置 Cloudflare 帐户后，您（或设置它的人）会将 Cloudflare 指向您服务器的实际 IP 地址。您可以通过两种方式确认这一点：

这是 Cloudflare 拥有的 IP 地址列表。如果您不熟悉CIDR 表示法，那么您可能104.16.0.0/12会感兴趣，因为它包含从104.16.0.0到的所有 IP 104.31.255.255。AKA104.27.182.86归 Cloudflare 所有，而不是 AWS。
如果您在 AWS 中检查您的弹性 IP，您会发现它不是104.27.182.86. 只有 Cloudflare 知道您服务器的实际 IP - 这是它提供的优势之一，也是人们使用它的原因之一。Cloudflare 位于中间，因此请求查看您网站的人永远不会直接与您的服务器通信。通过这种方式，Cloudflare 能够保护您的服务器免受各种攻击。

补充笔记

上面的细节应该清楚地表明，这并不是你被入侵的证据。但是，这里有一些更相关的细节供将来参考：

共享主机站点将有多个域从一个 IP 地址提供服务。但是，据我所知，AWS 不提供此类服务。如果您直接从 AWS 注册 VPS，您应该期望成为唯一在给定 IP 地址上托管任何服务的人
因此，如果您发现其他域的 DNS 指向您在 AWS 上的 VPS 的 IP 地址，并确认有问题的站点实际上是托管在该 IP 地址上，那么是的，这表明您的站点有被黑了。
还好104.27.182.86不是你服务器的IP地址：）

这是完全正常的。IPv4地址严重短缺。事实上，我们早就应该用完它们了。但由于有如此多的基础设施基于 IPv4，它在许多方面不断得到“扩展”。其中一个实际上已经存在很长时间的方法是在具有单个 IP 地址的单个服务器上托管多个域。

一个典型的廉价共享主机帐户将与数十个甚至数百个其他小型主机帐户共享一个服务器和一个 IP 地址。一个VPS（虚拟专用服务器）或类似的帐户可能是服务器上的少数之一，虽然每个VPS可以把主机诸多领域。

AWS 有点不同，因为您为相当明确定义的硬件数量（CPU 内核、RAM 等）付费，但除了最大的实例之外，您仍然只使用实际机器的一小部分。

通常可以获得真正唯一的 IPv4 地址。对于 AWS，这就是弹性 IP。其他托管公司可能有其他名称。例如，我最喜欢的主机曾经以少量费用提供单独的 IP 地址来与 SSL 证书一起使用。这些天来获得具有共享 IPv4 地址的 SSL 证书没有问题，所以我使用共享 IPv4 地址并且不用担心。

对于 AWS，弹性 IP 的最大优势不是，恕我直言，您拥有自己的 IP 地址。相反，即使您重新启动实例或将域移动到不同（例如，更大的）实例，IP 地址也是不变的。这可以节省一些 DNS 更改的麻烦。

看起来您刚刚发现了带有SNI的CDN中的负载均衡器是如何工作的

您还可以使用 OpenSSL 检查此特定 CDN 后面的其他主机 (SAN)，如下所示：

echo | openssl s_client -showcerts -servername arturofm.com -connect arturofm.com:443 2>/dev/null | openssl x509 -inform pem -noout -text

...或者您可以使用浏览器的证书查看器：

HTTP 1.1 添加了一个“host”标头，以允许多个 Web 主机名使用相同的 IP 地址。每个网站不再拥有自己的独特 IP，过去 20 年左右没有。

最初，当 WWW 被发明时，仍有大量 IPv4 地址可供使用。因此，每个 DNS 主机名都指向一个 IP 地址。因此，网络服务器本身就知道客户想要哪个主机！因为它是唯一一个为该 IP 地址提供服务，因此也是该主机名。一个 DNS 名称等于一个 IP 地址。

多个域名指向同一个 IP 地址一直是合法的（AFAIK！）。当 IP 地址开始用完时，这种做法变得更加普遍。现在有了更多的主机名，有了 IP 地址。特定的 www 服务器不再通过拥有自己的 IP 地址来区分。现在，多个主机名解析为一个 IP 地址。但是，位于一个 IP 地址上的服务器如何知道哪个是“别名”，哪个是主机名，它应该扮演什么样的角色？

所以他们发明了HTTP 1.1，增加了一个“host”头来解决这个问题。不再将站点的主机名隐含地“我！”，而是作为标头发送，Web 服务器或某个前端可以据此决定如何处理请求，它应该充当哪个网站，以及可能会交给其他一些软件来完成这项工作。

一切都以坚持使用 IPv4 的名义，直到血腥结束！直到世界变成沙漠，散落着破碎的热电子阀门和铀，最后两个活着的人类，如果你可以这样称呼他们，为最后一个可路由的地址而战。

回答你的问题，“这很正常。没关系！”

其它你可能感兴趣的问题

上一篇通过 netstat 查找 IM 用户位置？下一篇如何对一些偷了我手机的人刻薄