DDoS攻击防御中源站IP暴露怎么办？

业务配置DDoS高防后，如果存在攻击绕过DDoS高防直接攻击源站的情况，说明源站IP地址可能已经暴露，需要您更换源站服务器的IP地址。

更换源站服务器的IP地址前，请务必确认您已经消除了所有可能暴露源站IP的因素，避免源站IP更换后再次暴露。您可以从以下方面进行排查：

• 源站服务器上是否存在木马、后门等安全隐患。

推荐您使用阿里云云安全中心服务检查和修复服务器的安全漏洞。更多信息，请参见什么是云安全中心。

• 源站服务器上是否存在没有配置DDoS高防的其他服务，例如邮件服务器的MX记录、BBS记录等除Web记录以外的记录。

请仔细检查网站域名的DNS解析记录，确认没有任何记录直接解析到源站服务器的IP地址。

• 是否存在网站源码信息泄露。例如phpinfo()指令中可能包含的IP地址等泄露。
• 是否存在恶意扫描。您可以在配置DDoS高防后设置源站保护，在源站服务器上只放行DDoS高防回源IP的入方向流量。具体操作，请参见接入DDoS高防后如何设置源站保护。

确认已消除所有可能暴露源站IP的因素后，您可以更换源站服务器的IP地址。具体操作，请参见更换固定公网IP。

如果您不想更换源站IP或已经更换过源站IP但是仍存在IP暴露的情况，建议您在后端ECS服务器前部署一台负载均衡SLB服务器（具体操作，请参见负载均衡快速入门）。您可以使用以下网络架构：客户端->DDoS高防->SLB->ECS。

采用这种架构后，即使攻击者直接攻击源站，导致源站IP被黑洞，通过DDoS高防访问服务器依然不受影响。因为负载均衡服务器到源站的访问流量通过内网传输，即使源站IP被黑洞，DDoS高防实例的IP仍然可以通过负载均衡服务器访问源站。

说明

应用上述网络架构时，您需要在DDoS高防控制台中填写负载均衡服务器的IP作为服务器地址。