这是一个创建于 52 天前的主题,其中的信息可能已经有所发展或是发生改变。
自己的静态小博客之前托管在国内某云对象存储+cdn, 因为本来就自己玩玩也没多少流量
上个月感觉费用太贵了,直接全部迁移到 cloudflare pages, 免费是免费了,但是每天多了几十倍请求,全是全球各地奇怪的路径在扫
博客本身每天的阅读总数倒是和之前没什么区别
虽然我一个静态博客也不怕他扫,cloudflare 也不收钱
但是还是很奇怪,我域名都没变它们怎么突然找到我网站的? cloudflare 会在哪里公开吗?
上个月感觉费用太贵了,直接全部迁移到 cloudflare pages, 免费是免费了,但是每天多了几十倍请求,全是全球各地奇怪的路径在扫
博客本身每天的阅读总数倒是和之前没什么区别
虽然我一个静态博客也不怕他扫,cloudflare 也不收钱
但是还是很奇怪,我域名都没变它们怎么突然找到我网站的? cloudflare 会在哪里公开吗?
8 条回复 2025-08-20 11:30:33 +08:00
 | 1 phrack 52 天前 可能是国内的网络连通性太差了,以前那些扫描器也扫了只是包都没送到,cloudflare 网络好,包到达率高 |
 | 2 ryd994 52 天前 via Android cloudflare 会帮你申请 TLS 证书。所有大牌证书发行商都会提供证书透明度 certificate transparency 信息。如果你以前不用 HTTPS ,那现在你的域名就公开了。 |
 | 3 docx 52 天前 via iPhone 我也发现了,总有一堆 IP 在扫奇怪的路径。上了 WAF 自定义规则,但还是漏了一部分。搞不懂怎怎么回事…… |
 | 4 frankies 52 天前 都是机器人扫的,别真当。接入 google analysis 的数据比较准。 |
 | 5 guiys 52 天前 via Android waf 拒绝一切境外 ip  |
 | 6 TrackBack OP @ryd994 之前也是 https ,三个月换一次的免费证书不知道有没有上 ctlog 感觉这机制好蠢啊,有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉 |
| 7 ryd994 51 天前 via Android @TrackBack 不仅不蠢而且实际抓到过违规操作。CT 有助于网站主及时发现异常的证书签发。letsencrypt 当然也是公开 CT 的。 网龄久一点的人可能听说过 wosign 被踢出根证书列表。事件的起因就是 wosign 违规签发 Google 域名的证书,通过 CT 发现的。 切记,obfuscation isnot security 。相反,越是经过公开审计,越是有助于发现问题,发现问题才能修复问题,才会更安全。 “有一种我去办身份证结果派出所把我名字贴出来昭告天下的感觉” 以前挂失补办身份证确实是需要登报公告的。二代身份证可以联网验证,可能就不需要再公告了。总比被人神不知鬼不觉地冒用身份证更好。 |
 | 8 deplives 51 天前 正常,天天扫 .git/config 的请求比我正常请求都多 |
Select Language