Cloudflare 之前写过一篇文章,大意是吐槽有几个运营商不愿意和他们免费 peer 并征收很高的带宽费用,作为回应,他们调整了 Free 和 Pro 用户的路由,当这几个运营商的用户访问网站时,会从较远但是更便宜的 PoP 发送数据。
不过,Cloudflare 似乎只是对不同用户采用不同的 IP,并没有从更高层隔离用户,于是疑似出现了漏洞。比方说选取 images.weserv.nl (Free plan)为例,从 Vultr 的东京节点访问,会命中香港:
$ curl -4 https://images.weserv.nl/cdn-cgi/trace
fl=23f117
h=images.weserv.nl
ip=45.32.58.68
ts=1522918061.576
visit_scheme=https
uag=curl/7.58.0
colo=HKG
spdy=off
http=http/1.1
loc=JP
但是如果强制 curl 从 Digitalocean (Enterprise)的任播地址访问,就可以直接命中东京:
$ curl -4 https://images.weserv.nl/cdn-cgi/trace --resolve 'images.weserv.nl:443:104.16.24.4'
fl=22f74
h=images.weserv.nl
ip=45.32.58.68
ts=1522918051.22
visit_scheme=https
uag=curl/7.58.0
colo=NRT
spdy=off
http=http/1.1
loc=JP
这样的话,如果通过 Partner API 使用 Cloudflare,但是同时将使用了 CDN 的域名解析到企业版 Cloudflare 用户的 IP 地址上,岂不是免费享受了 Enterprise 用户才能使用的路由?
1
yexm0 2018-04-05 17:49:28 +08:00 1
|
2
est 2018-04-05 17:50:08 +08:00
akamai 也是一样。
google cdn 也是一样 偷着用就行了。传得太广,要么被官方封要么被寡妇网封。 |
3
ctsed 2018-04-05 18:27:35 +08:00 via Android 1
这个讨论盗版有啥区别。。。
|
4
Showfom 2018-04-05 20:09:34 +08:00 via iPhone 1
cf 从来没保证过给你的 ip 只给你用的也没保证过不会以后给你限制 ip
所以你这种方式没有 sla 保证的 |
5
chinafeng 2018-04-05 20:28:54 +08:00
你可以去试试,没几天你可能就被清退了
|
6
LanFomalhaut 2018-04-05 20:49:34 +08:00
有随时被拉黑的可能
|
7
Shura 2018-04-06 09:50:47 +08:00 via Android
量大会被清退的,量小没事,我的博客用这个很久了,反正也就我自己看看而已。
|