公布一个很 2 的 IDC： qingcloud (青云)

那随便买个域名解析过去不是可以把青云的客户全部害死？

照他们逻辑，

理论上任何人注册一个 domain-no-icp.com ，然后 CNAME 到 `www.qingcloudcom` ，他们自己的官网也得封，

青云，请问是这样吧？别双标哦（手动狗头

之前用阿里云的时候，我也想过这个问题。但阿里云是不会封的

那还不拿国内的 DNS 把青云的 IP 段都用 nip.io 解析一遍，青云要都封了就厉害了，楼主你发现盲点了

@neptuno 因为阿里云的工程师和技术，有脑子

这贴应该发到全球工单系统

@EscYezi 不，我的目的不是为了解决问题，而是为了解决这种劣等 IDC

这个操作有些迷啊

原来你不是唯一的受害者，我大学时买过他的服务器，你猜怎么着？买完订单不见了，服务器没了，钱已经付了，工单根本没人理

就这个策略，还做 IDC ，早点倒闭得了。。。

好家伙，有没有青云的竞争对手，可以 @ 一下

我也在用青云，我也遇到过这种问题，他们客服直接打电话来说的。
其实你可以在青云里面换个 IP 的，又没用额外的成本

@tulongtou

换 IP 成本太高，
域名资产要重新解析，
三方回调要重新配置，
持续集成自动部署要修改，
所有业务要从头测试。

而且换汤不换药。迟早要再来一次

@stevenhawking 阿里云和腾讯云也有这种 SB 案例，估计这个 SB 规定是管局下发的，厂商机械执行

以后的公有云市场，是大玩家的天下

青云是主要是 2B 的吧？见过好几个用的青云的。

因为这个原因被封的客户有点多，所以占用率没能超过阿里云

@stevenhawking 为什么要再来一次？你们得罪人了，专门有人拿国外域名解析到你们服务器？

这不很容易搞封一台服务器？

给他们整个机房 ip 段都解析一遍，看他们还封不封

期间有没有尝试过和客服沟通？客服怎么说？还是说你认为 nip.io 不是你的域名，你就没有理 青云 的警告，然后过一段时间就给你封了？要是最后一种情况，你不冤

之前的帖子：
有未知域名解析到我的腾讯云服务器，然后腾讯把我的服务器给停了
t/829471

说明国内 IDC 全都 2

@makelove 你觉得有没有一种可能，是这些 IDC 的主管单位 2 呢，一群弱智

前 IDC 从业人员回答一下

可能 QC 和楼主沟通有误会,比如非技术客服沟通,没有传达好要求

你的确不能管理别人的域名解析到你的 IP 上面
正确的做法是,如果这个域名指向你,但是这个域名不是你的,你需要拒绝提供服务

另外当年我还在业的时候,一般指抽查 80 和 443 端口
你只需要让 web 服务器设置一下除了自己的域名之外其他的所有域名全部返回 403 即可
注意,不要自定义 403,即让监管自己看到他熟悉的 403 页面

不知道现在是不是还会抽查其他端口
不过理论上也是一样的操作,根据访问来源,非法访问全部返回 403

如果和你沟通的这个人有问题,可以让他转到他们的技术部门进一步处理

国内的备案和审查制度就是毒瘤
再加上一群懒政和弱智的官僚只顾着捞钱构造成的管理机构

@Admstor #24 我猜应该就是这样……

只是提醒一下其它人。

是只是光解析，还是这个域名直接可以被访问。

如果是解析以后的域名是通的，这个不管有没有触发域名备案系统，都是必须处理的。因为涉及到钓鱼的问题。

忘了从什么时候开始，习惯在宝塔建站完，就再添加一个乱七八糟的域名，随便输入的那种。然后在宝塔的”默认站点“那里选择它，说是有效防止恶意解析~

忘了从什么时候开始，nginx 起第一个站就是 "server_name _;"

@tulongtou 不是我们再来一次，国外有那种人做了公益性质的 noip.io 、noip.net ，自动把 1.1.1.1.noip.io 解析 1.1.1.1 ，2.2.2.2.noip.io 解析 2.2.2.2 。

这不是用户该关心的事情吧？

而且 IDC 那么抠门买不起备案哨兵拦截系统嘛？

这个问题我们也遇到过，当时最后的处理方案是要我们在 nginx 配置一个 default hostname 全部 404

@zed1018 但是我们有业务，需要使用 IP 对外服务，只能
```
server_name ip;
listen 80 default_srver;
```

这种情况，并不会阻止三方域名

正常来说，你的服务器上要拒绝，不要接受这个域名就行，显示 404 错误就可通过了

反正我本地的 idc 服务商是这样让我干的，我一说未备案域名不是我的，他们就懂了

我记得只要 web 服务器上把这个域名弄成返回 404 就行了。我们自己托管的机器也遇到过。
这是可能不赖青云。被人指了机房就会一个电话过来让你断掉。

nip.io 我在用，挺好用的。
以及青云确实挺二逼的，因为一般是防火墙阻断而不是搞什么勒令……检测到也不应该做处理

以及 Web 服务器上当然最好也对没有资源的域名给 40X 错误，我个人用 403 。
server {
listen 80;
return 403;
}
加到最开头即可

这里夸一下腾讯和 icloud ，会使用邮件+短信告知此等情况，但是并不会停掉服务。

@ufan0
icloud 是啥

看了楼上的回复，意思是外来的域名（没备案）指向国内机子可以正常 http ？（只要返回 404 代码）那我建个站不用 200 专用 404 来输出正常页面我就可免备案建站逃过 IDC 检测系统了？是这个意思吗

@stevenhawking 拦截是有很大成本,另外更大的成本是怎么去拦截?无数的域名如何和客户沟通这个是可以访问还是不可以访问?

QC 本身的问题是沟通不当,没有告诉你正确的处理方案,但是关于这个"未备案域名不得开放"是国家要求,你只要服务器放在国内就绕不过去的

如果你的业务只能用 80 端口只能 IP 访问
只能说你对目前国内数据中心政策不熟悉,或者以前没有负责过这一块
与其怼 QC 不如赶紧改业务代码了

长远看还是应该域名+端口,无论怎样都会更加灵活,业务上去后做负载也容易
临时解决服务器端限制源 IP,但是如果源 IP 不能确定也就没辙

遇到过一次类似的，以后我配的对公服务 nginx 的默认 server context 都是直接返回 451

@Admstor #24 仔细思考了一下，如果只是配置 80 转跳 443 ，443 只配置了我域名的证书，其他人使用他的域名强制访问我的 https 站点，这种算非法建站么？

青云我记得之前我还用过他们家的试用一天，感觉挺好的，你一定是干了啥事了，不然会封机器

这未免

@miaoge520 真没干啥事，上面业务也在一个月前停了，整体迁移到了腾讯云。

@Admstor 为什么腾讯、阿里云未备案域名就能阻断，QC 就不行呢？这本来是 IaaS 该做的基础设施责任，却把这部分责任转移到客户

不是应该 ban 掉这个域名吗？ 想起来之前活动买过他家的 3 台服务器，到阿里云香港机房不通，然后让我自己处理。然后选择退费，那个退费规则坑的不是一点半点。
我想我以后应该是会把他家 ban 掉。

@sebastianwade 问题是域名太多，你怎么 ban ？ 有 nip, 有 noip ，也许还有 noip2 ，ipv4.noip ，ipv6.noip
所有都要搞吗？

IDC 本来就有成熟的在机房拦截未备案域名配置 80 、443 的方案，
既然做了 IDC ， 就不要抠门嗖嗖的，这点钱都不舍得。

@stevenhawking 白名单自己的域名不就行了

既然是云厂商，这种国内必须的基础设施服务不应该厂商提供吗？提供不了只好用别家了

国内还是用阿里腾讯百度去吧 其它的信不过

赞同 #24 的说法。
确实没有办法不让对方解析，但是可以让自己的服务器拒绝为这些域名服务。
比如检测 HTTP header 里面的 Host ，不在白名单内一律 403 。
这不仅是配合备案，而且对于网站安全有益，比如避免一些 XSS 攻击（给别人域名服务，对于他人就同源了）。

只通过 IP 访问也是能做到的，因为 HTTP/1.1 规定必须有 Host 头，那么 Host 就是服务器的 IP 地址。

青云一直不太好用

@stevenhawking 一般都是机房可以 ban 掉，不是用户处理。只是 ban 之前要跟域名指向 ip 所使用的客户确认。大厂应该都是这流程。

@idblife #38 感谢提醒，拼写错误，应为 ucloud

躲得了初一，躲不了十五啊。你换到国内任意一家 IDC ，同样封你。必须你自己做处理，返回 403 的。

@sebastianwade
不会的，一般是直接 ban 未备案域名

之前买了 1 年的机器，快到期的时候业务一直打电话过来叫续费，
我说不用了，他就让我去控制台销毁机器，
说如果不用了又不销毁会导致后续扣费且产生欠费。
我问他为什么腾讯阿里的都不会这样，到期停机自动销毁，哪来产生什么欠费。
他说腾讯阿里都是向他们学习的，而这一点是为了保护客户资料不会因为忘了续费导致遗失的原因。
最后我和他说了那就欠费吧，反正我以后也不用了....

青云可是一个连官网证书都能忘记更新的 IDC 。。。当年官网控制台全 GG 了 2 个多小时，就因为官网 SSL 证书过期......这是真无语啊.....

就是那个被雷劈的 qingcloud 吗？

https://www.baidu.com/s?ie=UTF-8&wd=%E9%9D%92%E4%BA%91%20%E9%9B%B7%E5%8A%88

叹为观止，这事居然怪用户了。。

@defunct9 谁说的？腾讯云阿里云谁家不是未备案域名直接拦截的？

@stevenhawking 他说的是运营商普通 IDC 机房那种

跑个题，nip.io 这个服务有什么应用场景吗？无公网肯定用不了，写 ip+nip.ip 比直接写 ip 有什么好处？也不如 hosts 可以自己定义别名方便记忆

@zhangneww 以前 IP 证书申请门槛高的时候，这种再不济也是一个域名，而且还免费使用，可以很方便地申请 SSL 证书，加密访问流量。不过现在 IP 证书也很方便就能申请了，所以用处就没有以前大了

@FrankAdler
@stevenhawking
@ChangeTheWorld
@Juszoe
根本不用域名解析。直接用 socket 连接它 IP ，然后发一个 HTTP 请求就可以，请求头里带一个没备案的 Host 。

去年我司一批服务器托管到电信机房，有 2 台服务器 IP 突然被封，没有通知。打电话过去才知道是有未备案域名解析到服务器。在 nginx 上做了配置，然后要他们解封，给的答复是 100 年后再解封。呵呵！国内就是如此霸道！

emmm
有 UCloud 的机器 不过没有这个问题 只是没备案的域名不能 http

很多运营商和 IDC 搞信息备案的人都是普通文职的，理解不了技术那点事，我还碰到中国电信的人要求把未知域名解析走呢，目前这种事一般我们都是在机房出口用白名单拦掉，或者 http 服务给屏蔽掉，打不开就行。

我还以为就我自己遇到过。同样是青云，我有台虚机，被别人的域名解析过来了，然后说我没备案要封！！这逻辑也是无敌。

@cat9life 更关键的是，我连 Web 服务都没开。还一直要求我按照他们的“手册”把 NginX 配置一边。问题是我就没有 NginX ，难道要安装上，按照要求配置一边，让然后再卸载掉吗....成功闭环了。

```
server {
listen 80 default_server;
listen 443 ssl default_server;
server_name _;
ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
return 401;
}
```

@lslqtz

谢老哥！
不过好像你的配置还得加个 default_server 才效果：

RUN echo "server {listen 80 default_server;return 451;}" > /etc/nginx/sites-available/default

我记得阿里云和腾讯云自动拦截未备案的域名的

没有自动跳转到备案提醒页面吗？

拦截未备案不是 IDC 应该做的？ 普通企业哪里知道自己服务器有没有被恶意指向。

@dzdh 这链接打开就笑尿了： https://t8.baidu.com/it/u=3880801596,1667409033&fm=218&app=126&size=f242,150&n=0&f=PNG?s=3F1C6686CA551EC4A88D882F0300F04B&sec=1650474000&t=d4643acfe2372009be5da58ee9cfc86a

腾讯云标准做法 http://81.68.152.56.nip.io:8888/

其实传统 IDC 也是这样的政策，所以一般来说都需要从服务端直接拦截掉返回 403 就行了，非绑定域名全部返回 403 ，不然不管什么 IDC ，警告几次都会封的

如果不是自己的域名不应该监听 这样即使指向也没有用

国内真是艰难。。。变相督促提高大家技艺了。我们公司以前有国内的服务器，后来也有类似的域名监管问题，最后直接关了国内服务器在国外建了一台，人润不了机器还润不了么~当然国内的访问速度就有点呵呵了。

有人还记得这家开产品发布会的时候大宕机的事情吗？

电信也有这样的要求，自己处理下恶意指向就可以。

server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;

return 444;
}


server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_reject_handshake on;

return 444;
}

默认绑定的 80 和 443 端口直接返回 444 即可

444 是 Nginx 专用的

A non-standard status code used to instruct nginx to close the connection without sending a response to the client

@Showfom

哎，用户本身就不应该关心这个 `恶意指向` 。
老板，来，我们聊聊可否搞点 SSL 的事情。

我在电信托管的服务器也是这样，因为用了一个未备案的域名做 cname ，方便以后统一改绑定，然后电信通知要求我改掉，我说我没建站，只是做 cname ，答复 cname 也不行。我说那我随便用个未备案的域名绑定 ip 就可以封了别人的服务器？客服说不出所以来，只是说你这个不处理就封服务器

@stevenhawking # 85 直接买就行了，SSL 证书哪有啥利润。。。有啥好搞的

成都电信也一样。我们自建机房，电信也是经常发函给我们说某某域名解析到我们的固定 IP 上了。我也很无语啊！！！每次只能去找域名注册商联系域名持有人改解析！
所以我们正在整体迁移阿里云。

@Showfom 利润很大，我们最近在搞 ACME ，来来来聊下聊下老板

@wuxiao2522 购买未备案域名了拦截系统，我前同事创业公司福州趣云有售 http://www.quyun.com/qdog.html ，1 年 5 位数预算肯定够的

@Yelp 现在腾讯云的网关也会审查非 80/443 端口上的 HTTP(S) 流量了，你这样用也会封

@zjsxwc 我自用从来没加，include 可能和引用顺序有关系。但是对 IP 需要访问可能就没用了……也许可以加个 if

居然还有 444 响应码，见识了

换句话说不法分子只要搞到一个账号，就可以在被查到之前通过任意域名直连 qingcloud 境内服务器上的网站？

# 444.conf
#
# `ssl_reject_handshake` depends nginx >= 1.19.4
#
# sudo tee /etc/apt/sources.list.d/nginx.list <<EOF
# deb https://nginx.org/packages/mainline/ubuntu/ `lsb_release -cs` nginx
# deb-src https://nginx.org/packages/mainline/ubuntu/ `lsb_release -cs` nginx
# EOF
#
# sudo wget http://nginx.org/keys/nginx_signing.key && sudo apt-key add nginx_signing.key
# sudo apt update && sudo apt install nginx
#


server {
listen 80 default_server;
listen 443 ssl http2 default_server;
listen [::]:80 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
br /> ssl_protocols TLSv1.2 TLSv1.3;
ssl_reject_handshake on;

return 444;
}

首先不法与否不重要。人家国外人提供的公益 noip 服务，肯定不会在中国备案。青云那边的人直接说不法，我就笑了。
不懂技术没事，但是失去了友好的态度，就很难跟他们沟通。

@miaoge520 我用的就是青云的，当你用未备案的域名解析到他家服务器的时候，他会发邮件提醒你停止解析，不然会停掉你的 80 和 443 端口，我亲自试过，22 年时候的事了，目前不知道策略是什么样的

@makelove 未备案会封你 80 和 443 端口，你没法用的