最近，主機幫接了一位客戶接入百度云防護，服務器更換了新IP，用了百度云防護CDN隱藏起來，結果沒兩天服務器又被DDOS了。

主機幫在確認新?lián)Q的IP沒有使用過后，域名也沒有解析暴露過IP的情況下，我們通過censys查詢域名，發(fā)現(xiàn)居然可以輕松的查到源服務器IP。

原來是客戶的源服務器在部署SSL證書的時候泄漏了源服務器IP，在某些情況下，服務器IP如果沒有部署SSL證書的話，會默認把服務器的第一個網(wǎng)站的SSL證書部署到IP上，這個時候用HTTPS訪問服務器IP，就會暴露出這個IP綁定了哪個域名。

而censys就是利用了這個原理，來反查域名源服務器IP，一般來說如果沒有做特殊設置的話，基本都是一查一個準。

考慮到客戶不懂設置SSL，我們直接讓客戶把源服務器的SSL都下了，然后通過百度云防護HTTPS轉發(fā)HTTP即可實現(xiàn)SSL部署效果，這樣設置類似于百度云加速以前的半程加密。

成功部署后，果然查不到最新?lián)Q的IP了。

以前的寶塔面板后臺沒有部署SSL的時候，就會出現(xiàn)CDN暴露IP的情況，目前寶塔都是可以設置SSL了，安全多了。