这是一个创建于 931 天前的主题,其中的信息可能已经有所发展或是发生改变。
事情经过是这样的。
有个境外的域名叫做 nip.io ,会自动解析 xxx.xxx.xxx.xxx.nip.io 到 xxx.xxx.xxx.xxx (IP),
然后我买青云服务器后,他们备案系统就抽风的检测到 xxx.xxx.xxx.xxx.nip.io,我从来没有用过 nip ,然后他们就勒令我停止解析。
可问题是 nip.io 根本不是我的域名,我如何停止?
然后今天,他们把我服务器封了,
没错,封了服务器。
服务器本来买的配置蛮高的,两台 4CPU 8G 。
就这样不待见企业客户。你行,青云
第 1 条附言 · 2022-04-19 02:31:11 +08:00
目前还有一家 IDC 也采用这种策略:Ucloud ,大家当心了
 |
1
FrankAdler 2022-04-18 20:33:46 +08:00 via iPhone  7
那随便买个域名解析过去不是可以把青云的客户全部害死?
|
 |
2
stevenhawking OP |
 |
3
neptuno 2022-04-18 20:36:16 +08:00 via iPhone 1
之前用阿里云的时候,我也想过这个问题。但阿里云是不会封的
|
 |
4
ChangeTheWorld 2022-04-18 20:37:10 +08:00 3
那还不拿国内的 DNS 把青云的 IP 段都用 nip.io 解析一遍,青云要都封了就厉害了,楼主你发现盲点了
|
|
5
stevenhawking OP 2
@neptuno 因为阿里云的工程师和技术,有脑子
|
 |
6
EscYezi 2022-04-18 20:38:40 +08:00 via iPhone 1
这贴应该发到全球工单系统🐶
|
|
7
stevenhawking OP 14
@EscYezi 不,我的目的不是为了解决问题,而是为了解决这种劣等 IDC
|
 |
8
hemingway 2022-04-18 20:47:38 +08:00
这个操作有些迷啊
|
 |
9
weak 2022-04-18 20:48:37 +08:00 via iPhone 2
原来你不是唯一的受害者,我大学时买过他的服务器,你猜怎么着?买完订单不见了,服务器没了,钱已经付了,工单根本没人理
|
 |
10
Exdui 2022-04-18 20:48:49 +08:00 1
就这个策略,还做 IDC ,早点倒闭得了。。。
|
 |
11
lithiumii 2022-04-18 20:51:55 +08:00
好家伙,有没有青云的竞争对手,可以 @ 一下
|
 |
12
tulongtou 2022-04-18 20:57:19 +08:00
我也在用青云,我也遇到过这种问题,他们客服直接打电话来说的。
其实你可以在青云里面换个 IP 的,又没用额外的成本 |
|
13
stevenhawking OP |
 |
14
eason1874 2022-04-18 21:02:08 +08:00
@stevenhawking 阿里云和腾讯云也有这种 SB 案例,估计这个 SB 规定是管局下发的,厂商机械执行
|
 |
15
echo1937 2022-04-18 21:09:59 +08:00
以后的公有云市场,是大玩家的天下
|
 |
16
PrinceofInj 2022-04-18 21:12:06 +08:00
青云是主要是 2B 的吧?见过好几个用的青云的。
|
 |
17
felixcode 2022-04-18 21:13:07 +08:00 via Android
因为这个原因被封的客户有点多,所以占用率没能超过阿里云
|
|
18
tulongtou 2022-04-18 21:15:41 +08:00
@stevenhawking 为什么要再来一次?你们得罪人了,专门有人拿国外域名解析到你们服务器?
|
 |
19
wonderfulcxm 2022-04-18 21:25:11 +08:00 via iPhone
这不很容易搞封一台服务器?
|
 |
20
Juszoe 2022-04-18 21:29:54 +08:00 3
给他们整个机房 ip 段都解析一遍,看他们还封不封😺
|
 |
21
littlewing 2022-04-18 21:30:20 +08:00
期间有没有尝试过和客服沟通?客服怎么说?还是说你认为 nip.io 不是你的域名,你就没有理 青云 的警告,然后过一段时间就给你封了?要是最后一种情况,你不冤
|
 |
22
makelove 2022-04-18 21:36:42 +08:00
|
 |
23
XiLingHost 2022-04-18 21:40:28 +08:00
@makelove 你觉得有没有一种可能,是这些 IDC 的主管单位 2 呢,一群弱智
|
 |
24
Admstor 2022-04-18 21:42:14 +08:00 22
前 IDC 从业人员回答一下
可能 QC 和楼主沟通有误会,比如非技术客服沟通,没有传达好要求 你的确不能管理别人的域名解析到你的 IP 上面 正确的做法是,如果这个域名指向你,但是这个域名不是你的,你需要拒绝提供服务 另外当年我还在业的时候,一般指抽查 80 和 443 端口 你只需要让 web 服务器设置一下除了自己的域名之外其他的所有域名全部返回 403 即可 注意,不要自定义 403,即让监管自己看到他熟悉的 403 页面 不知道现在是不是还会抽查其他端口 不过理论上也是一样的操作,根据访问来源,非法访问全部返回 403 如果和你沟通的这个人有问题,可以让他转到他们的技术部门进一步处理 |
|
25
XiLingHost 2022-04-18 21:43:13 +08:00 20
国内的备案和审查制度就是毒瘤
再加上一群懒政和弱智的官僚只顾着捞钱构造成的管理机构 |
 |
27
gengchun 2022-04-18 21:52:13 +08:00 1
只是提醒一下其它人。
是只是光解析,还是这个域名直接可以被访问。 如果是解析以后的域名是通的,这个不管有没有触发域名备案系统,都是必须处理的。因为涉及到钓鱼的问题。 |
 |
28
woshinide300yuan 2022-04-18 21:53:26 +08:00
忘了从什么时候开始,习惯在宝塔建站完,就再添加一个乱七八糟的域名,随便输入的那种。然后在宝塔的”默认站点“那里选择它,说是有效防止恶意解析~
|
 |
29
ragnaroks 2022-04-18 22:03:16 +08:00
忘了从什么时候开始,nginx 起第一个站就是 "server_name _;"
|
|
30
stevenhawking OP @tulongtou 不是我们再来一次,国外有那种人做了公益性质的 noip.io 、noip.net ,自动把 1.1.1.1.noip.io 解析 1.1.1.1 ,2.2.2.2.noip.io 解析 2.2.2.2 。
这不是用户该关心的事情吧? 而且 IDC 那么抠门买不起备案哨兵拦截系统嘛? |
 |
31
zed1018 2022-04-18 22:14:48 +08:00
这个问题我们也遇到过,当时最后的处理方案是要我们在 nginx 配置一个 default hostname 全部 404
|
|
32
stevenhawking OP |
 |
33
herozzm 2022-04-18 22:20:29 +08:00
正常来说,你的服务器上要拒绝,不要接受这个域名就行,显示 404 错误就可通过了
反正我本地的 idc 服务商是这样让我干的,我一说未备案域名不是我的,他们就懂了 |
 |
34
thunderw 2022-04-18 22:23:55 +08:00
我记得只要 web 服务器上把这个域名弄成返回 404 就行了。我们自己托管的机器也遇到过。
这是可能不赖青云。被人指了机房就会一个电话过来让你断掉。 |
 |
36
lslqtz 2022-04-18 22:26:45 +08:00 1
以及 Web 服务器上当然最好也对没有资源的域名给 40X 错误,我个人用 403 。
server { listen 80; return 403; } 加到最开头即可 |
 |
37
ufan0 2022-04-18 22:32:17 +08:00
这里夸一下腾讯和 icloud ,会使用邮件+短信告知此等情况,但是并不会停掉服务。
|
|
39
makelove 2022-04-18 22:43:51 +08:00
看了楼上的回复,意思是外来的域名(没备案)指向国内机子可以正常 http ?(只要返回 404 代码)那我建个站不用 200 专用 404 来输出正常页面我就可免备案建站逃过 IDC 检测系统了?是这个意思吗
|
|
40
Admstor 2022-04-18 22:47:15 +08:00
@stevenhawking 拦截是有很大成本,另外更大的成本是怎么去拦截?无数的域名如何和客户沟通这个是可以访问还是不可以访问?
QC 本身的问题是沟通不当,没有告诉你正确的处理方案,但是关于这个"未备案域名不得开放"是国家要求,你只要服务器放在国内就绕不过去的 如果你的业务只能用 80 端口只能 IP 访问 只能说你对目前国内数据中心政策不熟悉,或者以前没有负责过这一块 与其怼 QC 不如赶紧改业务代码了 长远看还是应该域名+端口,无论怎样都会更加灵活,业务上去后做负载也容易 临时解决服务器端限制源 IP,但是如果源 IP 不能确定也就没辙 |
 |
41
adoal 2022-04-18 23:02:33 +08:00 via iPhone 1
遇到过一次类似的,以后我配的对公服务 nginx 的默认 server context 都是直接返回 451
|
 |
42
privil 2022-04-18 23:07:50 +08:00
@Admstor #24 仔细思考了一下,如果只是配置 80 转跳 443 ,443 只配置了我域名的证书,其他人使用他的域名强制访问我的 https 站点,这种算非法建站么?
|
 |
43
miaoge520 2022-04-18 23:20:10 +08:00 via Android
青云我记得之前我还用过他们家的试用一天,感觉挺好的,你一定是干了啥事了,不然会封机器
|
 |
44
Hobr 2022-04-18 23:37:25 +08:00
这未免
|
|
45
stevenhawking OP @miaoge520 真没干啥事,上面业务也在一个月前停了,整体迁移到了腾讯云。
|
|
46
stevenhawking OP @Admstor 为什么腾讯、阿里云未备案域名就能阻断,QC 就不行呢?这本来是 IaaS 该做的基础设施责任,却把这部分责任转移到客户
|
|
47
stevenhawking OP 1
@makelove 不是这个意思,我公司所有在运营域名都是老老实实备案,并且公安网也备案了。企业都是老老实实闷声赚钱谁会去搞破坏业务稳定性的操作。
我发这个贴子,只是想说明 `阻断境外域名` 这是 `IDC 和机房的责任`,不是每个客户都懂技术,懂得如何根据 server 头屏蔽非己方域名的。 我们懂运维的还好; 只会下载安装 CMS 的客户怎么办呢? |
 |
48
sebastianwade 2022-04-18 23:49:14 +08:00
不是应该 ban 掉这个域名吗? 想起来之前活动买过他家的 3 台服务器,到阿里云香港机房不通,然后让我自己处理。然后选择退费,那个退费规则坑的不是一点半点。
我想我以后应该是会把他家 ban 掉。 |
|
49
stevenhawking OP @sebastianwade 问题是域名太多,你怎么 ban ? 有 nip, 有 noip ,也许还有 noip2 ,ipv4.noip ,ipv6.noip
所有都要搞吗? IDC 本来就有成熟的在机房拦截未备案域名配置 80 、443 的方案, 既然做了 IDC , 就不要抠门嗖嗖的,这点钱都不舍得。 |
 |
50
T0m008 2022-04-19 00:11:14 +08:00
@stevenhawking 白名单自己的域名不就行了
|
 |
51
leeg810312 2022-04-19 00:14:30 +08:00 via Android
既然是云厂商,这种国内必须的基础设施服务不应该厂商提供吗?提供不了只好用别家了
|
 |
52
jeesk 2022-04-19 00:18:49 +08:00 via Android
国内还是用阿里腾讯百度去吧 其它的信不过
|
 |
53
mikewang 2022-04-19 01:02:43 +08:00
赞同 #24 的说法。
确实没有办法不让对方解析,但是可以让自己的服务器拒绝为这些域名服务。 比如检测 HTTP header 里面的 Host ,不在白名单内一律 403 。 这不仅是配合备案,而且对于网站安全有益,比如避免一些 XSS 攻击(给别人域名服务,对于他人就同源了)。 只通过 IP 访问也是能做到的,因为 HTTP/1.1 规定必须有 Host 头,那么 Host 就是服务器的 IP 地址。 |
 |
54
lovepplforever 2022-04-19 01:47:02 +08:00 via iPhone
青云一直不太好用
|
|
55
sebastianwade 2022-04-19 08:41:19 +08:00
@stevenhawking 一般都是机房可以 ban 掉,不是用户处理。只是 ban 之前要跟域名指向 ip 所使用的客户确认。大厂应该都是这流程。
|
 |
57
defunct9 2022-04-19 09:13:08 +08:00
躲得了初一,躲不了十五啊。你换到国内任意一家 IDC ,同样封你。必须你自己做处理,返回 403 的。
|
 |
58
mytsing520 2022-04-19 09:13:32 +08:00
@sebastianwade
不会的,一般是直接 ban 未备案域名 |
 |
59
markgor 2022-04-19 09:29:20 +08:00
之前买了 1 年的机器,快到期的时候业务一直打电话过来叫续费,
我说不用了,他就让我去控制台销毁机器, 说如果不用了又不销毁会导致后续扣费且产生欠费。 我问他为什么腾讯阿里的都不会这样,到期停机自动销毁,哪来产生什么欠费。 他说腾讯阿里都是向他们学习的,而这一点是为了保护客户资料不会因为忘了续费导致遗失的原因。 最后我和他说了那就欠费吧,反正我以后也不用了.... 青云可是一个连官网证书都能忘记更新的 IDC 。。。当年官网控制台全 GG 了 2 个多小时,就因为官网 SSL 证书过期......这是真无语啊..... |
 |
60
dzdh 2022-04-19 09:35:23 +08:00 3
|
 |
61
fengjianxinghun 2022-04-19 09:47:45 +08:00
叹为观止,这事居然怪用户了。。
|
|
62
stevenhawking OP @defunct9 谁说的?腾讯云阿里云谁家不是未备案域名直接拦截的?
|
|
63
mytsing520 2022-04-19 10:07:13 +08:00
@stevenhawking 他说的是运营商普通 IDC 机房那种
|
 |
64
zhangneww 2022-04-19 10:18:16 +08:00
跑个题,nip.io 这个服务有什么应用场景吗?无公网肯定用不了,写 ip+nip.ip 比直接写 ip 有什么好处?也不如 hosts 可以自己定义别名方便记忆
|
 |
65
ruixue 2022-04-19 10:27:27 +08:00 1
@zhangneww 以前 IP 证书申请门槛高的时候,这种再不济也是一个域名,而且还免费使用,可以很方便地申请 SSL 证书,加密访问流量。不过现在 IP 证书也很方便就能申请了,所以用处就没有以前大了
|
 |
66
iqoo 2022-04-19 10:35:22 +08:00
@FrankAdler
@stevenhawking @ChangeTheWorld @Juszoe 根本不用域名解析。直接用 socket 连接它 IP ,然后发一个 HTTP 请求就可以,请求头里带一个没备案的 Host 。 |
 |
67
wuxqing 2022-04-19 10:43:00 +08:00
去年我司一批服务器托管到电信机房,有 2 台服务器 IP 突然被封,没有通知。打电话过去才知道是有未备案域名解析到服务器。在 nginx 上做了配置,然后要他们解封,给的答复是 100 年后再解封。呵呵!国内就是如此霸道!
|
 |
68
yaoyao1128 2022-04-19 10:51:20 +08:00
emmm
有 UCloud 的机器 不过没有这个问题 只是没备案的域名不能 http |
 |
69
blackboar 2022-04-19 11:06:22 +08:00
很多运营商和 IDC 搞信息备案的人都是普通文职的,理解不了技术那点事,我还碰到中国电信的人要求把未知域名解析走呢,目前这种事一般我们都是在机房出口用白名单拦掉,或者 http 服务给屏蔽掉,打不开就行。
|
 |
70
cat9life 2022-04-19 11:27:40 +08:00 1
我还以为就我自己遇到过。同样是青云,我有台虚机,被别人的域名解析过来了,然后说我没备案要封!!这逻辑也是无敌。
|
|
71
cat9life 2022-04-19 11:30:07 +08:00
@cat9life 更关键的是,我连 Web 服务都没开。还一直要求我按照他们的“手册”把 NginX 配置一边。问题是我就没有 NginX ,难道要安装上,按照要求配置一边,让然后再卸载掉吗....成功闭环了。
|
 |
72
my3157 2022-04-19 11:45:38 +08:00
```
server { listen 80 default_server; listen 443 ssl default_server; server_name _; ssl_certificate /etc/nginx/ssl/example.com.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key; return 401; } ``` |
 |
73
zjsxwc 2022-04-19 11:53:42 +08:00
@lslqtz
谢老哥! 不过好像你的配置还得加个 default_server 才效果: RUN echo "server {listen 80 default_server;return 451;}" > /etc/nginx/sites-available/default |
 |
74
seakingii 2022-04-19 12:05:07 +08:00
我记得阿里云和腾讯云自动拦截未备案的域名的
|
 |
75
opengps 2022-04-19 12:44:45 +08:00
没有自动跳转到备案提醒页面吗?
|
 |
76
Felldeadbird 2022-04-19 13:10:51 +08:00 1
拦截未备案不是 IDC 应该做的? 普通企业哪里知道自己服务器有没有被恶意指向。
|
 |
77
CSGO 2022-04-19 13:22:35 +08:00 1
|
 |
78
Yelp 2022-04-19 14:00:22 +08:00
腾讯云标准做法 http://81.68.152.56.nip.io:8888/
|
 |
79
maxbon 2022-04-19 14:00:27 +08:00
其实传统 IDC 也是这样的政策,所以一般来说都需要从服务端直接拦截掉返回 403 就行了,非绑定域名全部返回 403 ,不然不管什么 IDC ,警告几次都会封的
|
 |
80
solos 2022-04-19 14:08:37 +08:00
如果不是自己的域名不应该监听 这样即使指向也没有用
|
 |
81
Fule 2022-04-19 16:57:09 +08:00
国内真是艰难。。。——变相督促提高大家技艺了。我们公司以前有国内的服务器,后来也有类似的域名监管问题,最后直接关了国内服务器在国外建了一台,人润不了机器还润不了么~当然国内的访问速度就有点呵呵了。
|
 |
82
Y29tL2gwd2Fy 2022-04-19 17:24:03 +08:00 via Android
有人还记得这家开产品发布会的时候大宕机的事情吗?
|
 |
83
dongtingyue 2022-04-19 17:26:54 +08:00
电信也有这样的要求,自己处理下恶意指向就可以。
|
 |
84
Showfom 2022-04-19 20:02:33 +08:00 2
server {
listen 80 default_server; listen [::]:80 default_server; server_name _; return 444; } server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; ssl_protocols TLSv1.2 TLSv1.3; ssl_reject_handshake on; return 444; } 默认绑定的 80 和 443 端口直接返回 444 即可 444 是 Nginx 专用的 A non-standard status code used to instruct nginx to close the connection without sending a response to the client |
|
85
stevenhawking OP |
 |
86
Liang 2022-04-19 21:14:07 +08:00 via iPhone
我在电信托管的服务器也是这样,因为用了一个未备案的域名做 cname ,方便以后统一改绑定,然后电信通知要求我改掉,我说我没建站,只是做 cname ,答复 cname 也不行。我说那我随便用个未备案的域名绑定 ip 就可以封了别人的服务器?客服说不出所以来,只是说你这个不处理就封服务器
|
|
87
Showfom 2022-04-19 21:16:40 +08:00
@stevenhawking # 85 直接买就行了,SSL 证书哪有啥利润。。。有啥好搞的
|
 |
88
wuxiao2522 2022-04-19 21:22:24 +08:00
成都电信也一样。我们自建机房,电信也是经常发函给我们说某某域名解析到我们的固定 IP 上了。我也很无语啊!!!每次只能去找域名注册商联系域名持有人改解析!
所以我们正在整体迁移阿里云。 |
|
89
stevenhawking OP @Showfom 利润很大,我们最近在搞 ACME ,来来来聊下聊下老板😊
|
|
90
stevenhawking OP @wuxiao2522 购买未备案域名了拦截系统,我前同事创业公司福州趣云有售 http://www.quyun.com/qdog.html ,1 年 5 位数预算肯定够的
|
 |
91
keyword233 2022-04-20 00:58:51 +08:00 via Android
@Yelp 现在腾讯云的网关也会审查非 80/443 端口上的 HTTP(S) 流量了,你这样用也会封😥
|
|
92
lslqtz 2022-04-20 01:02:20 +08:00
@zjsxwc 我自用从来没加,include 可能和引用顺序有关系。但是对 IP 需要访问可能就没用了……也许可以加个 if
|
|
93
lslqtz 2022-04-20 01:03:24 +08:00
居然还有 444 响应码,见识了
|
 |
94
mercury233 2022-04-20 06:16:25 +08:00
换句话说不法分子只要搞到一个账号,就可以在被查到之前通过任意域名直连 qingcloud 境内服务器上的网站?
|
|
95
sebastianwade 2022-04-20 11:09:35 +08:00
# 444.conf
# # `ssl_reject_handshake` depends nginx >= 1.19.4 # # sudo tee /etc/apt/sources.list.d/nginx.list <<EOF # deb https://nginx.org/packages/mainline/ubuntu/ `lsb_release -cs` nginx # deb-src https://nginx.org/packages/mainline/ubuntu/ `lsb_release -cs` nginx # EOF # # sudo wget http://nginx.org/keys/nginx_signing.key && sudo apt-key add nginx_signing.key # sudo apt update && sudo apt install nginx # server { listen 80 default_server; listen 443 ssl http2 default_server; listen [::]:80 default_server; listen [::]:443 ssl http2 default_server; server_name _; ssl_protocols TLSv1.2 TLSv1.3; ssl_reject_handshake on; return 444; } |
|
96
stevenhawking OP 首先不法与否不重要。人家国外人提供的公益 noip 服务,肯定不会在中国备案。青云那边的人直接说不法,我就笑了。
不懂技术没事,但是失去了友好的态度,就很难跟他们沟通。 |
 |
97
bler 2023-08-25 16:02:34 +08:00
@miaoge520 我用的就是青云的,当你用未备案的域名解析到他家服务器的时候,他会发邮件提醒你停止解析,不然会停掉你的 80 和 443 端口,我亲自试过,22 年时候的事了,目前不知道策略是什么样的
|
Select Language