这是一个创建于 2751 天前的主题,其中的信息可能已经有所发展或是发生改变。
Cloudflare 之前写过一篇文章,大意是吐槽有几个运营商不愿意和他们免费 peer 并征收很高的带宽费用,作为回应,他们调整了 Free 和 Pro 用户的路由,当这几个运营商的用户访问网站时,会从较远但是更便宜的 PoP 发送数据。
不过,Cloudflare 似乎只是对不同用户采用不同的 IP,并没有从更高层隔离用户,于是疑似出现了漏洞。比方说选取 images.weserv.nl (Free plan)为例,从 Vultr 的东京节点访问,会命中香港:
$ curl -4 https://images.weserv.nl/cdn-cgi/trace fl=23f117 h=images.weserv.nl ip=45.32.58.68 ts=1522918061.576 visit_scheme=https uag=curl/7.58.0 colo=HKG spdy=off http=http/1.1 loc=JP 但是如果强制 curl 从 Digitalocean (Enterprise)的任播地址访问,就可以直接命中东京:
$ curl -4 https://images.weserv.nl/cdn-cgi/trace --resolve 'images.weserv.nl:443:104.16.24.4' fl=22f74 h=images.weserv.nl ip=45.32.58.68 ts=1522918051.22 visit_scheme=https uag=curl/7.58.0 colo=NRT spdy=off http=http/1.1 loc=JP 这样的话,如果通过 Partner API 使用 Cloudflare,但是同时将使用了 CDN 的域名解析到企业版 Cloudflare 用户的 IP 地址上,岂不是免费享受了 Enterprise 用户才能使用的路由?
7 条回复 2018-04-06 09:50:47 +08:00
 | 1 yexm0 2018-04-05 17:49:28 +08:00  1 |
 | 2 est 2018-04-05 17:50:08 +08:00 akamai 也是一样。 google cdn 也是一样 偷着用就行了。传得太广,要么被官方封要么被寡妇网封。 |
 | 3 ctsed 2018-04-05 18:27:35 +08:00 via Android 1 这个讨论盗版有啥区别。。。 |
 | 4 Showfom PRO 1 cf 从来没保证过给你的 ip 只给你用的也没保证过不会以后给你限制 ip 所以你这种方式没有 sla 保证的 |
 | 5 akafeng 2018-04-05 20:28:54 +08:00 你可以去试试,没几天你可能就被清退了 |
 | 6 LanFomalhaut 2018-04-05 20:49:34 +08:00 有随时被拉黑的可能 |
 | 7 Shura 2018-04-06 09:50:47 +08:00 via Android 量大会被清退的,量小没事,我的博客用这个很久了,反正也就我自己看看而已。 |
Select Language