Design wechseln

Trotz Cloudflare noch unter Angriff? 7 versteckte Wege der Origin-IP-Leaks und Schutzleitfaden

Blog offline, 20 GB Traffic an einem Tag, Konto gesperrt – obwohl Cloudflare aktiv ist. Server-Logs zeigen: Angriffstraffic umgeht Cloudflare und trifft die Origin-IP direkt. Angreifer umgehen das CDN und schlagen auf den echten Server ein – das ist das Origin-IP-Leak-Problem.

Das kommt häufig vor. Viele glauben, Cloudflare genüge – doch die Origin-IP ist längst über DNS-Historie, E-Mail-Header oder Subdomain-Scans bekannt. Dieser Artikel erklärt typische Leak-Pfade, Detektion und einen vollständigen Schutzplan.

Warum Origin-IPs geleakt werden

Was ist ein Origin-IP-Leak – und welchen Schaden verursacht er?

Mit Cloudflare oder einem CDN rufen Besucher Cloudflare-Knoten auf; Cloudflare leitet Anfragen an Ihren echten Server (Origin) weiter. Angreifer sehen nur Cloudflare-IPs, nicht Ihre Origin-IP.

Kennt ein Angreifer die Origin-IP, ist das CDN wirkungslos. Er greift den echten Server direkt an und umgeht alle Cloudflare-Schutzmechanismen.

Mögliche Folgen:

  • Serverausfall: DDoS trifft den Origin direkt – der Server bricht zusammen
  • Explodierende Traffic-Kosten: Viele Cloud-Server berechnen Traffic – ein Angriff kann die Rechnung explodieren lassen
  • Datenrisiko: Bei Sicherheitslücken umgeht der Angreifer WAF und CDN

Laut Cloudflare-Bericht Q4 2024 wurde der größte beobachtete DDoS-Angriff mit 5,6 Tbps gemessen.

5,6 Tbps
Größter von Cloudflare beobachteter DDoS-Angriff
Solche Monsterangriffe treffen normale Sites selten – aber schon wenige Gbit/s überfordern kleine Server; ein Leak lässt Angreifer das CDN umgehen

Solche Angriffe treffen normale Websites selten – aber schon wenige Gbit/s überfordern kleine Server.

[Bild: CDN-Funktionsdiagramm]
Prompt: server behind CDN shield, user traffic flow through cloudflare nodes, simplified diagram, tech blue color scheme, professional illustration

Die sieben häufigsten Leak-Pfade

Wie gelangt die Origin-IP nach außen? Hier sind sieben typische Wege – sortiert nach Risiko.

Weg 1: DNS-Historie (Risiko: hoch)

Der häufigste und am leichtesten übersehene Pfad.

Viele zeigen die Domain zuerst auf die echte IP und schalten Cloudflare erst später. DNS-Einträge werden von Drittanbietern dauerhaft archiviert – SecurityTrails, DNSdumpster und ähnliche Tools.

Typischer Fehler: Monate mit direkter IP-Auflösung, dann Cloudflare – alte Einträge bleiben bei SecurityTrails sichtbar.

Weg 2: E-Mail-Server-Header (Risiko: hoch)

Sehr versteckt – viele denken nicht daran.

Registrierungs-, Passwort-Reset- und RSS-Mails enthalten die Absender-IP im E-Mail-Header. Eigenes Mail-Setup oder Versand direkt vom Webserver = Leak.

So nutzen Angreifer das: Account anlegen, Bestätigungsmail öffnen, im Original-Header nach dem Received-Feld suchen – dort steht die echte Server-IP.

Beim ersten Entdecken war ich überrascht – E-Mails als Leak-Kanal war mir nicht bewusst.

Weg 3: Subdomain-Scan (Risiko: mittel-hoch)

Sehr verbreitet.

Die Hauptdomain example.com liegt hinter Cloudflare – aber mail.example.com, admin.example.com, dev.example.com oft direkt auf der Origin-IP ohne CDN.

Mit Sublist3r, OneForAll o. Ä. finden Angreifer Subdomains; ein Ping mit echter IP genügt.

Selbst wenn Haupt- und Subdomain auf verschiedenen Servern liegen: gleicher C-Block (z. B. 192.168.1.x) verrät ungefähr den IP-Bereich.

Weg 4: Quellcode-Leaks (Risiko: mittel)

Testseiten und Debug-Infos aus der Entwicklung können IPs preisgeben:

  • phpinfo() nicht gelöscht – zeigt Server-IP und Konfiguration
  • .git öffentlich zugänglich – Configs mit IP-Adressen
  • Debug-Modus in Fehlerlogs – Pfade und IPs in Meldungen
  • Hardcodierte API-URLs mit IP statt Domain im Quellcode

Vergessene info.php auf dem Server, von Suchmaschinen indexiert – solche Fehler sind häufiger als gedacht.

Weg 5: SSL-Zertifikatsabfrage (Risiko: mittel)

SSL-Zertifikate können ebenfalls leaken.

Certificate Transparency protokolliert alle ausgestellten Zertifikate. Mit crt.sh oder Censys finden Sie die Zertifikatshistorie einer Domain – inklusive früher IP-Bindungen.

War das Zertifikat vor Cloudflare direkt an der Origin-IP gebunden, bleibt der Eintrag erhalten. Nicht immer erfolgreich – aber ein realer Angriffsvektor.

Weg 6: DNS-Unterschiede im Ausland (Risiko: mittel-niedrig)

Manche CDNs haben nur Inland-Knoten, im Ausland keine.

Dann kann ein ausländischer Resolver die Origin-IP statt der CDN-IP zurückgeben. Bei Cloudflare als globalem CDN selten – bei kleineren regionalen CDNs beachten.

Einfacher Test: Abfrage über Google DNS (8.8.8.8) oder Cloudflare DNS (1.1.1.1) – CDN-Knoten-IP erwartet.

Weg 7: C-Block-Scan und Co-Hosting (Risiko: niedrig)

Mehrere Sites auf einem Server – eine ungeschützte Site kann andere verraten.

Angreifer nutzen Bing/Google mit ip:xxx.xxx.xxx.xxx oder scannen den C-Block nach weiteren Sites auf demselben Host.

Relativ geringes Risiko – bei vielen Sites auf einem Server trotzdem beachten.

[Bild: Infografik Origin-IP-Leak-Pfade]
Prompt: 7 ways of IP leak infographic, DNS history, email headers, subdomain scan, source code leak, SSL certificate, colorful icons, flat design

Wie prüfe ich, ob meine Origin-IP geleakt ist

Nach den Leak-Pfaden: Wie checken Sie Ihre Site? Diese Checkliste deckt die meisten Fälle ab.

Tool-Übersicht

PrüfmethodeEmpfohlene ToolsInhaltSchwierigkeit
DNS-HistorieSecurityTrails, DNSdumpsterHistorische DNS-Einträge⭐ Einfach
E-Mail-HeaderOriginalansicht im Mail-ClientAbsender-Server-IP⭐⭐ Mittel
Subdomain-ScanSublist3r, OneForAllAlle Subdomain-Auflösungen⭐⭐ Mittel
Globaler Pingping.pe, 17ce.comIP-Konsistenz weltweit⭐ Einfach
SSL-Zertifikatcrt.sh, CensysZertifikatshistorie mit IPs⭐⭐ Mittel
Cyberspace-SucheShodan, FofaExponierte Server-Ports⭐⭐⭐ Schwerer
Server-Logstail auf Access-LogsDirektzugriffe auf Origin-IP⭐⭐ Mittel

Detaillierte Prüfschritte

Prüfung 1: DNS-Historie

Diese Dienste mit Ihrer Domain abfragen:

  • SecurityTrails (securitytrails.com) – historische DNS-Auflösungen
  • DNSdumpster (dnsdumpster.com) – DNS-Enumeration, Subdomains und Historie
  • Netcraft (sitereport.netcraft.com) – archiviert frühere Site-IPs

Finden Sie die echte IP von vor Cloudflare, ist ein Leak sehr wahrscheinlich.

Prüfung 2: E-Mail-Header

Besonders praktisch:

  1. Test-Account registrieren und Bestätigungsmail auslösen
  2. Oder Passwort-Reset an sich selbst senden
  3. „Originalnachricht anzeigen“ im Mail-Client öffnen
  4. Nach Received oder X-Originating-IP suchen
  5. Prüfen, ob die IP Ihre Origin-IP ist

Versand über SendGrid oder Amazon SES zeigt Drittanbieter-IPs – das ist in Ordnung.

Prüfung 3: Subdomain-Scan

Alle Subdomains manuell prüfen – zeigt eine direkt auf die Origin-IP?

# Subdomains mit dig abfragen
dig mail.yourdomain.com
dig admin.yourdomain.com
dig api.yourdomain.com

Oder automatisch scannen:

  • Sublist3r – Python-Tool für viele Subdomains
  • OneForAll – umfangreiches Subdomain-Sammel-Tool

Gefundene Subdomains einzeln pingen – Cloudflare-IP oder Ihre eigene?

Prüfung 4: Globaler Ping-Test

Von verschiedenen Regionen pingen – gleiche IP überall?

  • ping.pe – gleichzeitiger Ping aus vielen Knoten weltweit
  • 17ce.com – Multi-Location-Ping (China)

Unterschiedliche IPs je Region sind verdächtig. Bei Cloudflare als globalem CDN sollten Sie überall nahe CF-Knoten sehen.

Prüfung 5: SSL-Zertifikatsabfrage

Bei crt.sh nach Ihrer Domain suchen:

https://crt.sh/?q=yourdomain.com

War das Zertifikat an Ihrer Origin-IP gebunden, ist die IP faktisch halböffentlich.

Prüfung 6: Cyberspace-Suchmaschinen

Fortgeschritten, aber effektiv – Shodan, Censys oder Fofa nach Domain oder Fingerabdruck:

  • Shodan (shodan.io) – IoT- und Server-Suche
  • Censys (censys.io) – Netzwerk-Scan-Daten
  • Fofa (fofa.so) – Cyberspace-Mapping (China)

Offene Dienste am Origin (z. B. Port 80) können indexiert werden und die IP verraten.

Prüfung 7: Server-Logs

Am direktesten – Access-Logs prüfen:

# Nginx-Logs typischerweise unter
tail -f /var/log/nginx/access.log
# Apache-Logs
tail -f /var/log/apache2/access.log

Direktzugriffe auf die Origin-IP von Quellen außerhalb der Cloudflare-IP-Ranges bedeuten: Jemand kennt Ihre IP und versucht, das CDN zu umgehen.

Cloudflare-IP-Ranges stehen in der offiziellen Dokumentation – normalerweise sollten alle Requests von dort kommen.

Vollständiger Schutzplan

Vorbereitung vor der Konfiguration

Noch ohne Cloudflare – oder Leak entdeckt und Neuaufbau geplant? Diese Schritte sparen später Ärger.

Vorbereitung 1: Origin-IP wechseln oder neuen Server nutzen

Am gründlichsten: Bei bekanntem Leak mit neuer IP neu starten.

Optionen bei Cloud-Servern:

  • Neuen Server kaufen: Daten migrieren, alten Server abschalten
  • Öffentliche IP tauschen: Bei Alibaba, Tencent u. a. oft kostenlos oder günstig
  • Neue Domain: Nur wenn Domain-IP-Kopplung zu eng – hohe Kosten, letztes Mittel

In der Frühphase eines Projekts: neuer Server ist am einfachsten. Wenig Daten – Migration in Minuten.

Vorbereitung 2: Spuren bereinigen, die IPs verraten könnten

DNS-Historie löschen Sie nicht – aber kontrollierbare Quellen säubern:

  • Testseiten entfernen (phpinfo.php, info.php …)
  • Debug-Modus und Fehlerausgabe abschalten
  • Externen Zugriff auf .git verbieten (Nginx-Deny-Regel)
  • Quellcode auf hardcodierte IPs prüfen

Vorbereitung 3: DNS-Strategie planen

Welche Hostnames über Cloudflare, welche nicht:

  • Hauptdomain und www: zwingend Cloudflare
  • Alle öffentlichen Subdomains: ebenfalls Cloudflare (blog, api, img …)
  • E-Mail: Eigenbetrieb vermeiden – Drittanbieter
  • Interne Dienste: Admin, DB – keine öffentliche DNS, nur Intranet-IP

Cloudflare Best Practices

Vorbereitung erledigt – so verstecken Sie die Origin-IP zuverlässig.

Praxis 1: Vollständiges CDN – alle Subdomains über Cloudflare

Das Wichtigste. In den Cloudflare-DNS-Einstellungen sehen Sie pro Eintrag ein Wolken-Symbol:

  • Orange Wolke: Traffic über Cloudflare-Proxy – Origin-IP verborgen
  • Graue Wolke: Kein Proxy – direkte Auflösung auf Origin-IP

Alle öffentlichen Hostnames orange. Viele setzen nur die Hauptdomain orange, Subdomains grau – das nützt wenig.

Grau nur bei nicht proxyfähigen Records: MX, TXT-Verifikation usw.

[Bild: Cloudflare DNS-Einstellungen]
Prompt: cloudflare DNS settings screenshot, orange cloud vs gray cloud comparison, highlight the proxy status toggle, clean interface, 16:9

Praxis 2: E-Mail über Drittanbieter, nicht selbst betreiben

E-Mail-Header verraten die Absender-IP. Lösung: kein Versand vom eigenen Server:

  • SendGrid: 100 Mails/Tag gratis – für kleine Sites ausreichend
  • Amazon SES: Pay-as-you-go, erste 62.000 Mails/Monat gratis (AWS-Konto nötig)
  • Mailgun: Free-Tier, freundliche API

API und SMTP verfügbar – Umstellung unkompliziert, Zustellrate oft besser als Eigenbetrieb.

Praxis 3: Firewall-Whitelist – nur Cloudflare-IPs

Kernmaßnahme. Selbst bei bekannter Origin-IP blockiert die Firewall fremden Traffic.

Offizielle IP-Liste:

https://www.cloudflare.com/ips/

Beispiel iptables:

# ⚠️ Wichtig: SSH-Port vorher absichern
# Zuerst in Testumgebung prüfen – nicht aussperren
# Bestehende Regeln leeren
iptables -F
# Loopback erlauben
iptables -A INPUT -i lo -j ACCEPT
# Etablierte Verbindungen erlauben
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH erlauben (eigenen Port anpassen)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Nur Cloudflare-IP-Ranges für 80 und 443
# Beispiel-IPv4-Segmente – vollständige Liste von der Website
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 173.245.48.0/20 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 103.21.244.0/22 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 103.22.200.0/22 -j ACCEPT
# ... alle CF-Ranges hinzufügen ...
# Alle anderen 80/443-Verbindungen ablehnen
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j DROP
# Regeln speichern
iptables-save > /etc/iptables/rules.v4

Konfigurationshinweise:

  1. Zuerst in Testumgebung prüfen
  2. SSH-Port (22) offen lassen
  3. Danach von anderem Gerät (z. B. Handy) testen
  4. Bei Cloud-Servern: Security Groups in der Konsole – sicherer und bequemer

Nach der Konfiguration: per Mobilfunk direkt die Origin-IP aufrufen – sollte nicht erreichbar sein.

[Bild: Firewall-Schutzschichten]
Prompt: firewall protection layers diagram, cloudflare IP whitelist, block non-cloudflare traffic, security shield icon, professional tech illustration

Praxis 4: Ping-Antworten deaktivieren

Verhindert IP-Block-Scans zur Lokalisierung:

# Ping deaktivieren
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Permanent in /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all = 1
# Anwenden
sysctl -p

Beim Scannen antwortet der Server nicht – wirkt wie ungültige IP.

Erweiterte Schutzmaßnahmen

Für wichtige Sites oder nach Angriffen:

Maßnahme 1: Cloudflare Tunnel (ehemals Argo Tunnel)

Vollständige Entfernung der Origin-IP aus dem öffentlichen Raum.

Auf dem Server läuft cloudflared und baut aktiv einen Tunnel zu Cloudflare:

  • Keine offenen 80/443-Ports
  • Origin von außen nicht erreichbar
  • Gesamter Traffic über verschlüsselten Tunnel

Kurz-Setup:

# cloudflared installieren
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
dpkg -i cloudflared-linux-amd64.deb
# Bei Cloudflare anmelden
cloudflared tunnel login
# Tunnel anlegen
cloudflared tunnel create mytunnel
# Route konfigurieren
cloudflared tunnel route dns mytunnel yourdomain.com
# Tunnel starten
cloudflared tunnel run mytunnel

Nahezu perfekte IP-Verschleierung – etwas komplexer; manche Features nur im Paid-Plan.

Maßnahme 2: Origin-IP regelmäßig rotieren

Für Hochrisiko-Sites: alle 3–6 Monate Server oder IP wechseln. Alte Leaks werden wirkungslos – Kosten je nach Bedeutung der Site.

Maßnahme 3: Anomalie-Monitoring

Bei Zugriffen außerhalb der Cloudflare-IP-Ranges sofort alarmieren:

# Einfaches Monitoring-Skript
tail -f /var/log/nginx/access.log | grep -v -E "(173\.245\.|103\.21\.|103\.22\.)" | while read line
do
    echo "Alert: Non-CF IP access! $line"
    # E-Mail- oder SMS-Alarm anbinden
done

Direktversuche auf die Origin-IP werden sofort sichtbar.

Maßnahme 4: Keine hardcodierten IPs im Quellcode

Alle API-Aufrufe und Ressourcen über Domains, nicht IPs:

// Falsch
fetch('http://123.456.78.90/api/data')
// Richtig
fetch('https://api.yourdomain.com/data')

Frontend-Code verrät so keine Origin-IP.

Bereits geleakt – was tun?

Kein Grund zur Panik. Historische Einträge verschwinden nicht – aber Sie können das Risiko deutlich senken.

Schritt 1: Origin-IP sofort wechseln

Effektivste Maßnahme. Neuen Server oder neue öffentliche IP, dann Migration.

Kosten (Richtwerte):

  • IP-Wechsel: oft kostenlos oder 10–20 Yuan
  • Neuer Mindestserver (1 vCPU, 2 GB): ~30–50 Yuan/Monat
  • Migration kleiner Sites: ~30 Minuten

Alten Server ein paar Tage behalten – sicherstellen, dass der neue stabil läuft.

Schritt 2: Firewall-Whitelist

Bei korrekter Firewall kommen Angreifer nicht durch – auch mit bekannter IP.

iptables oder Security Group: nur Cloudflare-Ranges für 80/443. Vorsicht:

  1. Zuerst in Testumgebung
  2. SSH-Port (22) offen lassen
  3. Danach von anderem Gerät testen

Fehlkonfiguration kann aussperren – VNC über die Cloud-Konsole rettet, ist aber mühsam.

Schritt 3: Cloudflare Rate Limiting

Begrenzt Anfragen pro IP. Free-Tier limitiert; Pro (~20 USD/Monat) erlaubt feinere Regeln:

  • Max. 10 Requests pro 10 Sekunden pro IP
  • Überschreitung → Block oder Challenge
  • Schutz für bestimmte Pfade

Wirksam gegen kleinere Angriffe.

Schritt 4: DDoS-Schutz-IP erwägen

Bei häufigen Angriffen oder kritischer Infrastruktur: Alibaba, Tencent, Baidu bieten Anti-DDoS-IPs:

  • Nach Bandbreite: Festpreis für z. B. 20 Gbit/s Schutz
  • Nach Angriffsvolumen: Niedrige Grundkosten, bei Angriff Aufschlag
  • Kosten: Hunderte bis Zehntausende Yuan/Monat je nach Stufe

Für private Sites oft teuer – für E-Commerce oder Game-Server lohnenswert.

Schritt 5: Monitoring und schnelle Reaktion

Bei anomalem Traffic oder Direktzugriffen sofort handeln:

  • Cloudflare-Benachrichtigungen bei Traffic-Spitzen
  • Monitoring mit Zabbix oder Prometheus
  • Bei Angriff: DNS temporär auf Backup-Server

Geschwindigkeit zählt – Stunden Verzögerung können hohe Traffic-Kosten bedeuten.

Fazit

Origin-IP-Leaks sind systemisch – Cloudflare allein reicht nicht. Von DNS-Historie über E-Mail-Header bis Subdomain-Scan und SSL-Zertifikate: Die Wege sind vielfältig.

Die wichtigsten Maßnahmen:

  1. Vollständiges CDN – alle öffentlichen Hostnames über Cloudflare, orange Wolke
  2. Firewall-Whitelist – nur Cloudflare-IPs – letzte Verteidigungslinie
  3. E-Mail outsourcen – SendGrid, SES – kein Versand vom eigenen Server
  4. Regelmäßige Selbstprüfung – Tools aus diesem Artikel nutzen

Noch ohne Cloudflare? Jetzt von Anfang an richtig konfigurieren. Bereits aktiv, unsicher ob Leak? Zehn Minuten Selbstcheck.

Leak entdeckt? Neue IP, Firewall, übrige Maßnahmen – Problem beherrschbar.

Origin-IP-Schutz ist dauerhaft, kein Einmal-Job. Neue Subdomains hinter CDN, Konfiguration ohne IP-Leak, regelmäßige Kontrolle.

Starten Sie mit SecurityTrails und DNS-Historie. Bei Befund: Schritte in diesem Artikel. Etwas Aufwand – besser als Serverausfall durch DDoS.

Vollständiger Ablauf: Origin-IP-Leak erkennen und absichern

Von der Leak-Erkennung bis zum vollständigen Schutzplan – sieben Leak-Pfade, Detektionsmethoden und Firewall-Best-Practices

Estimated time: PT2H

  1. 1

    Step 1: Origin-IP-Leak prüfen: DNS-Historie und E-Mail-Header

    Prüfung 1: DNS-Historie
  2. 2

    Step 2: Subdomain-Scan und globaler Ping

    Prüfung 3: Subdomain-Scan
  3. 3

    Step 3: SSL-Zertifikat und Cyberspace-Suche

    Prüfung 5: SSL-Zertifikatsabfrage
  4. 4

    Step 4: Vorbereitung: IP wechseln und Spuren bereinigen

    Vorbereitung 1: Origin-IP wechseln oder neuen Server
  5. 5

    Step 5: Cloudflare Best Practices: Vollständiges CDN und Firewall

    Praxis 1: Alle Subdomains über Cloudflare
  6. 6

    Step 6: Erweiterte Maßnahmen und Sofortmaßnahmen bei Leak

    Erweiterte Maßnahmen:

FAQ

Was ist ein Origin-IP-Leak? Warum greift man trotz Cloudflare mit DDoS an?
Definition Origin-IP-Leak:
• Mit Cloudflare oder einem CDN rufen Nutzer Cloudflare-Knoten auf; Cloudflare leitet Anfragen an Ihren echten Server (Origin) weiter
• Angreifer sehen nur Cloudflare-IPs, nicht Ihre Origin-IP
• Kennt ein Angreifer die Origin-IP, ist das CDN wirkungslos
• Er kann den echten Server direkt angreifen und alle Cloudflare-Schutzmechanismen umgehen

Schaden:
• Serverausfall (DDoS trifft den Origin direkt – Server bricht zusammen)
• Explodierende Traffic-Kosten (viele Cloud-Server berechnen Traffic – ein Angriff kann die Rechnung explodieren lassen)
• Datenrisiko (bei Sicherheitslücken umgeht der Angreifer WAF und CDN)

Laut Cloudflare-Bericht Q4 2024 wurde der größte beobachtete DDoS-Angriff mit 5,6 Tbps gemessen. Solche Monsterangriffe treffen normale Sites selten – aber schon wenige Gbit/s überfordern kleine Server.

Viele glauben, Cloudflare reiche – doch die Origin-IP ist oft längst über DNS-Historie, E-Mail-Header oder Subdomain-Scans bekannt. Sie wissen es nur noch nicht.
Was sind die sieben häufigsten Leak-Pfade – und wie hoch ist das Risiko?
Weg 1: DNS-Historie (Risiko: hoch)
• Häufigster und am leichtesten übersehene Pfad
• Viele zeigen die Domain zuerst auf die echte IP, Cloudflare kommt später
• DNS-Einträge werden von Drittanbietern dauerhaft archiviert – SecurityTrails, DNSdumpster u. a.
• Typischer Fehler: Monate mit echter IP, dann erst Cloudflare – alte Einträge bleiben sichtbar

Weg 2: E-Mail-Server-Header (Risiko: hoch)
• Sehr versteckt – Registrierungs-, Passwort-Reset- und RSS-Mails enthalten die Absender-IP im Header
• Eigenes Mail-Setup oder Versand direkt vom Webserver = Leak
• Angreifer: Account anlegen, Bestätigungsmail öffnen, Received-Feld prüfen

Weg 3: Subdomain-Scan (Risiko: mittel-hoch)
• Hauptdomain hinter Cloudflare, aber mail.example.com, admin.example.com, dev.example.com oft direkt auf Origin
• Tools wie Sublist3r oder OneForAll finden Subdomains; ein Ping mit echter IP genügt

Weg 4: Quellcode-Leaks (Risiko: mittel)
• phpinfo(), offenes .git, Debug-Logs, hardcodierte API-IPs in Code

Weg 5: SSL-Zertifikatsabfrage (Risiko: mittel)
• Certificate Transparency protokolliert alle Zertifikate – crt.sh, Censys zeigen historische IP-Bindungen

Weg 6: DNS-Unterschiede im Ausland (Risiko: mittel-niedrig)
• CDNs nur in einer Region: ausländische Resolver können Origin-IP zurückgeben

Weg 7: C-Block-Scan und Co-Hosting (Risiko: niedrig)
• Mehrere Sites auf einem Server – eine ungeschützte Site verrät den Rest
Wie prüfe ich, ob meine Origin-IP geleakt ist? Welche Tools gibt es?
Tool-Übersicht:

DNS-Historie:
• SecurityTrails, DNSdumpster
• Inhalt: historische DNS-Einträge
• Schwierigkeit: einfach

E-Mail-Header:
• Originalansicht im Mail-Client
• Inhalt: Absender-Server-IP
• Schwierigkeit: mittel

Subdomain-Scan:
• Sublist3r, OneForAll
• Inhalt: alle Subdomain-Auflösungen
• Schwierigkeit: mittel

Globaler Ping-Test:
• ping.pe, 17ce.com
• Inhalt: IP-Konsistenz weltweit
• Schwierigkeit: einfach

SSL-Zertifikat:
• crt.sh, Censys
• Inhalt: Zertifikatshistorie mit IPs
• Schwierigkeit: mittel

Cyberspace-Suche:
• Shodan, Fofa
• Inhalt: exponierte Ports
• Schwierigkeit: schwerer

Server-Logs:
• tail auf Access-Logs
• Inhalt: Direktzugriffe auf Origin-IP
• Schwierigkeit: mittel

Schritte:

1) DNS-Historie: SecurityTrails, DNSdumpster, Netcraft – IP vor Cloudflare = Leak

2) E-Mail-Header: Test-Registrierung, Originalmail öffnen, Received/X-Originating-IP prüfen; SendGrid/SES = OK

3) Subdomains: dig oder Scanner, jede Subdomain pingen

4) Globaler Ping: ping.pe oder 17ce.com – unterschiedliche IPs je Region = Verdacht

5) SSL: crt.sh nach Domain suchen

6) Shodan/Censys/Fofa nach Domain oder Fingerabdruck

7) Logs: Direktzugriffe ohne Cloudflare-IP-Range = jemand kennt Ihre Origin-IP
Wie konfiguriere ich Cloudflare und Firewall gegen Origin-IP-Leaks?
Cloudflare Best Practices:

1) Vollständiges CDN – alle Subdomains über Cloudflare
• Orange Wolke = Proxy, versteckt Origin-IP
• Graue Wolke = direkte Auflösung auf Origin-IP
• Alle öffentlichen Hostnames orange; nur MX, TXT etc. grau

2) E-Mail über Drittanbieter
• SendGrid (100 Mails/Tag gratis), Amazon SES (62.000/Monat gratis mit AWS), Mailgun
• Kein Versand vom eigenen Server

3) Firewall-Whitelist nur für Cloudflare-IPs
• Liste: https://www.cloudflare.com/ips/
• iptables: SSH erlauben, nur CF-Ranges für 80/443, Rest DROP
• Vorher in Testumgebung prüfen, SSH-Port offen lassen, danach per Mobilfunk Origin-IP testen

4) Ping deaktivieren
• echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
• Permanent: net.ipv4.icmp_echo_ignore_all = 1 in /etc/sysctl.conf, sysctl -p
Origin-IP bereits geleakt – was tun?
Leak lässt sich nicht aus der Historie löschen – aber Risiko senken:

1) Origin-IP sofort wechseln
• Neue Instanz oder neue öffentliche IP, Migration
• Kosten: IP-Wechsel oft kostenlos oder 10–20 Yuan; kleinster Server ~30–50 Yuan/Monat; Migration ~30 Min.

2) Firewall-Whitelist
• Nur Cloudflare-IPs für 80/443 – Angreifer kommen nicht durch
• Vorsicht: nicht ausgesperrt werden (VNC-Konsole als Rettung)

3) Cloudflare Rate Limiting
• Pro-Plan ~20 USD/Monat für feinere Regeln, z. B. 10 Requests/10s pro IP

4) DDoS-Schutz-IP
• Alibaba, Tencent, Baidu – je nach Schutzstufe hunderte bis zehntausende Yuan/Monat

5) Monitoring
• Cloudflare-Benachrichtigungen, Zabbix/Prometheus, bei Angriff DNS auf Backup-Server
Was ist Cloudflare Tunnel – und wie versteckt er die Origin-IP vollständig?
Cloudflare Tunnel (ehemals Argo Tunnel) exponiert die Origin-IP praktisch nicht.

Prinzip:
• cloudflared auf dem Server verbindet sich aktiv mit Cloudflare
• Keine offenen 80/443-Ports nach außen
• Gesamter Traffic über verschlüsselten Tunnel

Kurz-Setup:
1. cloudflared installieren
2. cloudflared tunnel login
3. cloudflared tunnel create mytunnel
4. cloudflared tunnel route dns mytunnel yourdomain.com
5. cloudflared tunnel run mytunnel

Fast perfekte IP-Verschleierung – etwas komplexer, manche Features nur im Paid-Plan.

Vorteil gegenüber klassischem CDN-Proxy: Server braucht keine Inbound-Ports; selbst bekannte IP ist nicht erreichbar.

Bei hohen Sicherheitsanforderungen oder nach Angriffen: Tunnel dringend empfohlen.

11 Min. Lesezeit · Veröffentlicht am: 1. Dez. 2025 · Aktualisiert am: 9. Juli 2026

Ähnliche Beiträge

Kommentare

Melde dich mit GitHub an, um einen Kommentar zu hinterlassen

Easton BlogEaston Blog