自己的静态小博客之前托管在国内某云对象存储+cdn, 因为本来就自己玩玩也没多少流量
上个月感觉费用太贵了,直接全部迁移到 cloudflare pages, 免费是免费了,但是每天多了几十倍请求,全是全球各地奇怪的路径在扫
博客本身每天的阅读总数倒是和之前没什么区别
虽然我一个静态博客也不怕他扫,cloudflare 也不收钱
但是还是很奇怪,我域名都没变它们怎么突然找到我网站的? cloudflare 会在哪里公开吗?
上个月感觉费用太贵了,直接全部迁移到 cloudflare pages, 免费是免费了,但是每天多了几十倍请求,全是全球各地奇怪的路径在扫
博客本身每天的阅读总数倒是和之前没什么区别
虽然我一个静态博客也不怕他扫,cloudflare 也不收钱
但是还是很奇怪,我域名都没变它们怎么突然找到我网站的? cloudflare 会在哪里公开吗?
8 条回复 • 2025-08-20 11:30:33 +08:00
 |
1
phrack 14 天前
可能是国内的网络连通性太差了,以前那些扫描器也扫了只是包都没送到,cloudflare 网络好,包到达率高
|
 |
2
ryd994 14 天前 via Android
cloudflare 会帮你申请 TLS 证书。所有大牌证书发行商都会提供证书透明度 certificate transparency 信息。如果你以前不用 HTTPS ,那现在你的域名就公开了。
|
 |
3
docx 14 天前 via iPhone
我也发现了,总有一堆 IP 在扫奇怪的路径。上了 WAF 自定义规则,但还是漏了一部分。搞不懂怎怎么回事……
|
 |
4
frankies 14 天前
都是机器人扫的,别真当。接入 google analysis 的数据比较准。
|
 |
5
guiys 14 天前 via Android
waf 拒绝一切境外 ip
 |
 |
6
TrackBack OP @ryd994 之前也是 https ,三个月换一次的免费证书不知道有没有上 ctlog
感觉这机制好蠢啊,有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉 |
|
7
ryd994 13 天前 via Android
@TrackBack 不仅不蠢而且实际抓到过违规操作。CT 有助于网站主及时发现异常的证书签发。letsencrypt 当然也是公开 CT 的。
网龄久一点的人可能听说过 wosign 被踢出根证书列表。事件的起因就是 wosign 违规签发 Google 域名的证书,通过 CT 发现的。 切记,obfuscation is not security 。相反,越是经过公开审计,越是有助于发现问题,发现问题才能修复问题,才会更安全。 “有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉” 以前挂失补办身份证确实是需要登报公告的。二代身份证可以联网验证,可能就不需要再公告了。总比被人神不知鬼不觉地冒用身份证更好。 |
 |
8
deplives 13 天前
正常,天天扫 .git/config 的请求比我正常请求都多
|
Select Language