在搭建 Xray Reality 协议服务器里特别提过:Target 域名别用套 Cloudflare 的。为什么?这篇把坑挖开给你看。
Reality 的风险#
如果 Target 域名指向了 Cloudflare CDN 这类特殊 IP 的网站,那么非法的 Reality 请求——也就是鉴权失败的那些流量——会直接转发给目标域名。后果就是:你的服务器成了 Cloudflare 的免费端口转发工具,别人扫描到以后就能薅你的流量。
用人话说:Reality 这个特性让 Target 套 CDN 的服务器变成 CDN 的边缘 IP。谁路过都能用,账单你来付。免费给别人当加速节点,亏不亏?
Xray 开发者不是不知道这个。但他们说了,为了更好的伪装,这种情况没法避免。所以问题不在 Xray 有 bug,而是你不设防就是在开门迎客。
实际遭遇#
我没有配置任何防护,Target 随手填了个套 Cloudflare 的域名。猜猜几天后发生了什么?
上面这个 IP,每秒几百次请求。下面这张图里是我封掉的 IP 总数——几百个,就短短几天。几百个人在薅我服务器的羊毛!!!\(º□ºl|l)/
所以千万千万别小看互联网捣蛋鬼的力量。设不对就是这种下场。
怎么防#
难道没救了吗??NONONO~机智的我给 Reality 套了个 Nginx!用 Nginx 在前面做 SNI 分流,匹配的域名才放给 Xray,不匹配的直接掐。这样一来,不是自己人的域名根本过不去,薅羊毛的就只能干瞪眼啦~
你可能会说:那直接不用套 Cloudflare 的域名不就行了。机智如你!但是——为什么不好好利用 Xray 这个特性呢?把 Reality 服务器变成你自己的加速节点,不香吗?想法看这篇:利用 Reality 协议"漏洞"加速服务器。
具体操作#
用 Xray_bash_onekey 安装:
bash <(curl -fsSL https://raw.githubusercontent.com/hello-yunshu/Xray_bash_onekey/main/install.sh)选:
3. 安装 Xray (Reality+ws/gRPC/xHTTP+Nginx)安装过程中会看到这个提示:
回车就行。现在 Nginx 有预编译好的包,安装飞快,别担心~
以后要调整 Nginx 允许通过的域名,在脚本里:
12. 变更 Nginx serverNames 配置或者:
idleleo --add-servernamesFail2ban 保安上岗#
装完后强烈建议再装 Fail2ban。有些 IP 会像苍蝇一样反复尝试连接你的服务器,在 Nginx 日志里刷一堆错误。Fail2ban 就是用来收拾这种人的。
在菜单里:
29. 设置 Fail2ban 防暴力破解或者:
idleleo --set-fail2ban规则我都写好啦,自动部署,不用谢~
过段时间就能看到被封掉的 IP 列表了。
再加一道流量阻断#
如果你已经遇到奇怪的流量,或者想更狠一点,脚本里还有流量阻断:
31. 设置 Xray 流量阻断或者:
idleleo --traffic-blocker能按国家/地区 IP、BT、广告域名、私有网络等规则做阻断。Fail2ban 像门口保安,流量阻断像里面的防盗门。门多不丢人,省流量才是正经事~
