V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TrackBack
V2EX  ›  Cloudflare

网站上 cloudflare 之后的奇怪流量都是哪里来的

  •  
  •   TrackBack · 14 天前 · 981 次点击
    自己的静态小博客之前托管在国内某云对象存储+cdn, 因为本来就自己玩玩也没多少流量

    上个月感觉费用太贵了,直接全部迁移到 cloudflare pages, 免费是免费了,但是每天多了几十倍请求,全是全球各地奇怪的路径在扫

    博客本身每天的阅读总数倒是和之前没什么区别

    虽然我一个静态博客也不怕他扫,cloudflare 也不收钱

    但是还是很奇怪,我域名都没变它们怎么突然找到我网站的? cloudflare 会在哪里公开吗?
    8 条回复    2025-08-20 11:30:33 +08:00
    phrack
        1
    phrack  
       14 天前
    可能是国内的网络连通性太差了,以前那些扫描器也扫了只是包都没送到,cloudflare 网络好,包到达率高
    ryd994
        2
    ryd994  
       14 天前 via Android
    cloudflare 会帮你申请 TLS 证书。所有大牌证书发行商都会提供证书透明度 certificate transparency 信息。如果你以前不用 HTTPS ,那现在你的域名就公开了。
    docx
        3
    docx  
       14 天前 via iPhone
    我也发现了,总有一堆 IP 在扫奇怪的路径。上了 WAF 自定义规则,但还是漏了一部分。搞不懂怎怎么回事……
    frankies
        4
    frankies  
       14 天前
    都是机器人扫的,别真当。接入 google analysis 的数据比较准。
    guiys
        5
    guiys  
       14 天前 via Android
    waf 拒绝一切境外 ip
    ![]( https://imgur.com/a/eAxEyT1)
    TrackBack
        6
    TrackBack  
    OP
       14 天前
    @ryd994 之前也是 https ,三个月换一次的免费证书不知道有没有上 ctlog
    感觉这机制好蠢啊,有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉
    ryd994
        7
    ryd994  
       13 天前 via Android
    @TrackBack 不仅不蠢而且实际抓到过违规操作。CT 有助于网站主及时发现异常的证书签发。letsencrypt 当然也是公开 CT 的。

    网龄久一点的人可能听说过 wosign 被踢出根证书列表。事件的起因就是 wosign 违规签发 Google 域名的证书,通过 CT 发现的。

    切记,obfuscation is not security 。相反,越是经过公开审计,越是有助于发现问题,发现问题才能修复问题,才会更安全。

    “有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉”
    以前挂失补办身份证确实是需要登报公告的。二代身份证可以联网验证,可能就不需要再公告了。总比被人神不知鬼不觉地冒用身份证更好。
    deplives
        8
    deplives  
       13 天前
    正常,天天扫 .git/config 的请求比我正常请求都多
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3894 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:20 · PVG 13:20 · LAX 22:20 · JFK 01:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.