Cloudfront:aws版cf使用方法及自选ip探索

CF创建

在aws后台直接搜:cloudfront 来到cf面板,开始创建第一个cf。出现的第一个页面涉及到很多选项,有的还比较复杂繁琐,很多人都被拦在这里。

创建aws的cf,首先要关注两个东西:源域名和备用域名。原域名就是你的源站,可以是网站代理服务器等你想要加速的服务。因为cf不支持源站为ip格式,所以你先要弄个域名。备用域名就是你绑定并可以使用cf的域名。

举例:服务器1.1.1.1上搭建了v2ray,然后创建域名cf-behind.mebi.me解析到1.1.1.1。那么原域名填写cf-behind.mebi.me,另外我还需一个域名cf-front.mebi.me,先不用解析,把这个域名填到备用域名。

接下来解决一些小问题。

首先说明:cf的国内IP只支持443端口(暂不讨论能扫到80端口的IP),这就要求搭建的v2传输方式必须带有tls,cdn加速又必须用ws,所以传输方式就定死了,只能ws+tls。

最低源SSL协议选TLSv1,版本越小越好,版本高了对你搭建的要求就高了。原协议策略选择仅HTTPS。cf可以支持源站任意端口,利用这点我们可以在一台服务器上搭建多个v2并且都走cf。

查看协议策略选择HTTP和HTTPS。这图是我别人博客拿的。如果我们要自选国内IP,选择将HTTP重定向到HTTPS基本屁用没有,因为cf的国内IP基本不支持80端口,哪来的重定向。

必须要ssl证书。如果你选择cf给的域名,格式 xxxxxxxxx.cloudfront.net,就选择默认CloudFront证书。如果你用自己域名 cf-front.mebi.me,那么我们要上传证书。

默认自定义SSL证书是灰色点不了,我们先要点使用ACM请求或导入证书,我们可以通过aws来申请cf-front.mebi.me的证书,也可以把自己申请的证书导入。证书申请成功或者导入的证书有效之后,刷新创建cf的页面,当证书与填写的备用域名匹配,自定义SSL证书才可选。

我们可以借助certbot免费申请通配符证书,这样可以解决创建多个cf要导入多次ssl证书的麻烦。不用担心有效期只有90天,可以自动续签,况且你的cf能活满90天吗?

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto certonly

前面说了aws也可以申请证书,我试过申请 *.域名 的形式,但好像这玩意不是通配符域名?

自选IP

原理:cf的节点打开,在响应的header里Server字段值为CloudFront,利用这方法我们可以用脚本自动检测cf的ip。

脚本的大致思路是找到cf的所有ip段,然后用zmap工具检测这些ip的443端口通不通,保留通的ip再进行header里Server字段值的判断,值为CloudFront即为cf。

cf的ip段哪里找?看看这里。扫完这些ip估计要1天左右时间,然后再判断,又要花很多时间,是比较费时的活。

再给个扫描脚本:这里。此脚本运行条件:python3环境、安装zmap、安装numpy和requests模块。

apt-get install zmap -y
pip3 install requests
pip3 install numpy

在脚本的同级目录下新建iplist.txt,将cf的ip段放进去。运行:

python3 scan.py iplist.txt 200

上面的200表示python检测Server字段的多进程数量,越大进程越大速度越快。你还可以修改扫描脚本scan.py第43行内,把-B 30M参数调到更大,那么zmap工具扫描的更快。速度快能减省时间但牺牲准确度,这个度自己把握。速度越快有可能会被你的服务商视为扫描攻击,有劝退的风险。

自测zmap这工具不太准,有很多ip的443端口开着的但却扫不到。我目前使用的是masscan,效果不错准确的也高。

给几个IP段

cf的国内IP质量挺高,有很多idc机房和大厂,但是断流你说难不难。给几个IP段自己去扫吧,很多都是我12月份自己扫的,新鲜的很。话说我为什么这么无私?不断流速度直接拉顶,断流让你欲哭无泪,谁用谁知道。

网宿 CDN段

江苏电信

58.221.56.0/24

58.221.36.0/24

湖南联通

58.20.0.0/16

Ucloud BGP段

北京BGP

106.75.4.162
106.75.16.214
106.75.34.130
106.75.90.226
106.75.99.152
106.75.119.188
106.75.120.201

广州BGP

106.75.130.199
106.75.136.107
106.75.139.38
106.75.141.189
106.75.146.128
106.75.173.101
106.75.145.227

上海BGP

106.75.213.165
106.75.226.254
106.75.216.223
106.75.231.127
106.75.231.151
106.75.231.132
106.75.231.139
106.75.231.172

国通数据中心

上海BGP

211.148.0.0/16

亚马逊 BGP段

宁夏BGP

52.82.0.0/16 很多

广州电信

广州广东

119.147.182.0/24 几乎全D段

上海联通

漕河泾IDC

210.51.40.0/24

上海联通

211.95.52.157

211.95.52.172

只给我扫的部分,太多了。另外很多ip支持80端口。

文章来源于互联网:Cloudfront:aws版cf使用方法及自选ip探索

♨ 本站资源均来源于互联网,如有侵权请联系站长,将第一时间删除;
♨ 本站资源售价只是赞助,收取费用仅维持本站的日常运营及外购所需;
♨ 资源仅供学习参考请,勿商用或其它非法用途,否则一切后果用户自负。
阿里码库 » Cloudfront:aws版cf使用方法及自选ip探索

发表评论