Trotz Cloudflare noch unter Angriff? 7 versteckte Wege der Origin-IP-Leaks und Schutzleitfaden
Blog offline, 20 GB Traffic an einem Tag, Konto gesperrt – obwohl Cloudflare aktiv ist. Server-Logs zeigen: Angriffstraffic umgeht Cloudflare und trifft die Origin-IP direkt. Angreifer umgehen das CDN und schlagen auf den echten Server ein – das ist das Origin-IP-Leak-Problem.
Das kommt häufig vor. Viele glauben, Cloudflare genüge – doch die Origin-IP ist längst über DNS-Historie, E-Mail-Header oder Subdomain-Scans bekannt. Dieser Artikel erklärt typische Leak-Pfade, Detektion und einen vollständigen Schutzplan.
Warum Origin-IPs geleakt werden
Was ist ein Origin-IP-Leak – und welchen Schaden verursacht er?
Mit Cloudflare oder einem CDN rufen Besucher Cloudflare-Knoten auf; Cloudflare leitet Anfragen an Ihren echten Server (Origin) weiter. Angreifer sehen nur Cloudflare-IPs, nicht Ihre Origin-IP.
Kennt ein Angreifer die Origin-IP, ist das CDN wirkungslos. Er greift den echten Server direkt an und umgeht alle Cloudflare-Schutzmechanismen.
Mögliche Folgen:
- Serverausfall: DDoS trifft den Origin direkt – der Server bricht zusammen
- Explodierende Traffic-Kosten: Viele Cloud-Server berechnen Traffic – ein Angriff kann die Rechnung explodieren lassen
- Datenrisiko: Bei Sicherheitslücken umgeht der Angreifer WAF und CDN
Laut Cloudflare-Bericht Q4 2024 wurde der größte beobachtete DDoS-Angriff mit 5,6 Tbps gemessen.
Solche Angriffe treffen normale Websites selten – aber schon wenige Gbit/s überfordern kleine Server.
[Bild: CDN-Funktionsdiagramm]
Prompt: server behind CDN shield, user traffic flow through cloudflare nodes, simplified diagram, tech blue color scheme, professional illustration
Die sieben häufigsten Leak-Pfade
Wie gelangt die Origin-IP nach außen? Hier sind sieben typische Wege – sortiert nach Risiko.
Weg 1: DNS-Historie (Risiko: hoch)
Der häufigste und am leichtesten übersehene Pfad.
Viele zeigen die Domain zuerst auf die echte IP und schalten Cloudflare erst später. DNS-Einträge werden von Drittanbietern dauerhaft archiviert – SecurityTrails, DNSdumpster und ähnliche Tools.
Typischer Fehler: Monate mit direkter IP-Auflösung, dann Cloudflare – alte Einträge bleiben bei SecurityTrails sichtbar.
Weg 2: E-Mail-Server-Header (Risiko: hoch)
Sehr versteckt – viele denken nicht daran.
Registrierungs-, Passwort-Reset- und RSS-Mails enthalten die Absender-IP im E-Mail-Header. Eigenes Mail-Setup oder Versand direkt vom Webserver = Leak.
So nutzen Angreifer das: Account anlegen, Bestätigungsmail öffnen, im Original-Header nach dem Received-Feld suchen – dort steht die echte Server-IP.
Beim ersten Entdecken war ich überrascht – E-Mails als Leak-Kanal war mir nicht bewusst.
Weg 3: Subdomain-Scan (Risiko: mittel-hoch)
Sehr verbreitet.
Die Hauptdomain example.com liegt hinter Cloudflare – aber mail.example.com, admin.example.com, dev.example.com oft direkt auf der Origin-IP ohne CDN.
Mit Sublist3r, OneForAll o. Ä. finden Angreifer Subdomains; ein Ping mit echter IP genügt.
Selbst wenn Haupt- und Subdomain auf verschiedenen Servern liegen: gleicher C-Block (z. B. 192.168.1.x) verrät ungefähr den IP-Bereich.
Weg 4: Quellcode-Leaks (Risiko: mittel)
Testseiten und Debug-Infos aus der Entwicklung können IPs preisgeben:
phpinfo()nicht gelöscht – zeigt Server-IP und Konfiguration.gitöffentlich zugänglich – Configs mit IP-Adressen- Debug-Modus in Fehlerlogs – Pfade und IPs in Meldungen
- Hardcodierte API-URLs mit IP statt Domain im Quellcode
Vergessene info.php auf dem Server, von Suchmaschinen indexiert – solche Fehler sind häufiger als gedacht.
Weg 5: SSL-Zertifikatsabfrage (Risiko: mittel)
SSL-Zertifikate können ebenfalls leaken.
Certificate Transparency protokolliert alle ausgestellten Zertifikate. Mit crt.sh oder Censys finden Sie die Zertifikatshistorie einer Domain – inklusive früher IP-Bindungen.
War das Zertifikat vor Cloudflare direkt an der Origin-IP gebunden, bleibt der Eintrag erhalten. Nicht immer erfolgreich – aber ein realer Angriffsvektor.
Weg 6: DNS-Unterschiede im Ausland (Risiko: mittel-niedrig)
Manche CDNs haben nur Inland-Knoten, im Ausland keine.
Dann kann ein ausländischer Resolver die Origin-IP statt der CDN-IP zurückgeben. Bei Cloudflare als globalem CDN selten – bei kleineren regionalen CDNs beachten.
Einfacher Test: Abfrage über Google DNS (8.8.8.8) oder Cloudflare DNS (1.1.1.1) – CDN-Knoten-IP erwartet.
Weg 7: C-Block-Scan und Co-Hosting (Risiko: niedrig)
Mehrere Sites auf einem Server – eine ungeschützte Site kann andere verraten.
Angreifer nutzen Bing/Google mit ip:xxx.xxx.xxx.xxx oder scannen den C-Block nach weiteren Sites auf demselben Host.
Relativ geringes Risiko – bei vielen Sites auf einem Server trotzdem beachten.
[Bild: Infografik Origin-IP-Leak-Pfade]
Prompt: 7 ways of IP leak infographic, DNS history, email headers, subdomain scan, source code leak, SSL certificate, colorful icons, flat design
Wie prüfe ich, ob meine Origin-IP geleakt ist
Nach den Leak-Pfaden: Wie checken Sie Ihre Site? Diese Checkliste deckt die meisten Fälle ab.
Tool-Übersicht
| Prüfmethode | Empfohlene Tools | Inhalt | Schwierigkeit |
|---|---|---|---|
| DNS-Historie | SecurityTrails, DNSdumpster | Historische DNS-Einträge | ⭐ Einfach |
| E-Mail-Header | Originalansicht im Mail-Client | Absender-Server-IP | ⭐⭐ Mittel |
| Subdomain-Scan | Sublist3r, OneForAll | Alle Subdomain-Auflösungen | ⭐⭐ Mittel |
| Globaler Ping | ping.pe, 17ce.com | IP-Konsistenz weltweit | ⭐ Einfach |
| SSL-Zertifikat | crt.sh, Censys | Zertifikatshistorie mit IPs | ⭐⭐ Mittel |
| Cyberspace-Suche | Shodan, Fofa | Exponierte Server-Ports | ⭐⭐⭐ Schwerer |
| Server-Logs | tail auf Access-Logs | Direktzugriffe auf Origin-IP | ⭐⭐ Mittel |
Detaillierte Prüfschritte
Prüfung 1: DNS-Historie
Diese Dienste mit Ihrer Domain abfragen:
- SecurityTrails (securitytrails.com) – historische DNS-Auflösungen
- DNSdumpster (dnsdumpster.com) – DNS-Enumeration, Subdomains und Historie
- Netcraft (sitereport.netcraft.com) – archiviert frühere Site-IPs
Finden Sie die echte IP von vor Cloudflare, ist ein Leak sehr wahrscheinlich.
Prüfung 2: E-Mail-Header
Besonders praktisch:
- Test-Account registrieren und Bestätigungsmail auslösen
- Oder Passwort-Reset an sich selbst senden
- „Originalnachricht anzeigen“ im Mail-Client öffnen
- Nach
ReceivedoderX-Originating-IPsuchen - Prüfen, ob die IP Ihre Origin-IP ist
Versand über SendGrid oder Amazon SES zeigt Drittanbieter-IPs – das ist in Ordnung.
Prüfung 3: Subdomain-Scan
Alle Subdomains manuell prüfen – zeigt eine direkt auf die Origin-IP?
# Subdomains mit dig abfragen
dig mail.yourdomain.com
dig admin.yourdomain.com
dig api.yourdomain.com
Oder automatisch scannen:
- Sublist3r – Python-Tool für viele Subdomains
- OneForAll – umfangreiches Subdomain-Sammel-Tool
Gefundene Subdomains einzeln pingen – Cloudflare-IP oder Ihre eigene?
Prüfung 4: Globaler Ping-Test
Von verschiedenen Regionen pingen – gleiche IP überall?
- ping.pe – gleichzeitiger Ping aus vielen Knoten weltweit
- 17ce.com – Multi-Location-Ping (China)
Unterschiedliche IPs je Region sind verdächtig. Bei Cloudflare als globalem CDN sollten Sie überall nahe CF-Knoten sehen.
Prüfung 5: SSL-Zertifikatsabfrage
Bei crt.sh nach Ihrer Domain suchen:
https://crt.sh/?q=yourdomain.com
War das Zertifikat an Ihrer Origin-IP gebunden, ist die IP faktisch halböffentlich.
Prüfung 6: Cyberspace-Suchmaschinen
Fortgeschritten, aber effektiv – Shodan, Censys oder Fofa nach Domain oder Fingerabdruck:
- Shodan (shodan.io) – IoT- und Server-Suche
- Censys (censys.io) – Netzwerk-Scan-Daten
- Fofa (fofa.so) – Cyberspace-Mapping (China)
Offene Dienste am Origin (z. B. Port 80) können indexiert werden und die IP verraten.
Prüfung 7: Server-Logs
Am direktesten – Access-Logs prüfen:
# Nginx-Logs typischerweise unter
tail -f /var/log/nginx/access.log
# Apache-Logs
tail -f /var/log/apache2/access.log
Direktzugriffe auf die Origin-IP von Quellen außerhalb der Cloudflare-IP-Ranges bedeuten: Jemand kennt Ihre IP und versucht, das CDN zu umgehen.
Cloudflare-IP-Ranges stehen in der offiziellen Dokumentation – normalerweise sollten alle Requests von dort kommen.
Vollständiger Schutzplan
Vorbereitung vor der Konfiguration
Noch ohne Cloudflare – oder Leak entdeckt und Neuaufbau geplant? Diese Schritte sparen später Ärger.
Vorbereitung 1: Origin-IP wechseln oder neuen Server nutzen
Am gründlichsten: Bei bekanntem Leak mit neuer IP neu starten.
Optionen bei Cloud-Servern:
- Neuen Server kaufen: Daten migrieren, alten Server abschalten
- Öffentliche IP tauschen: Bei Alibaba, Tencent u. a. oft kostenlos oder günstig
- Neue Domain: Nur wenn Domain-IP-Kopplung zu eng – hohe Kosten, letztes Mittel
In der Frühphase eines Projekts: neuer Server ist am einfachsten. Wenig Daten – Migration in Minuten.
Vorbereitung 2: Spuren bereinigen, die IPs verraten könnten
DNS-Historie löschen Sie nicht – aber kontrollierbare Quellen säubern:
- Testseiten entfernen (
phpinfo.php,info.php…) - Debug-Modus und Fehlerausgabe abschalten
- Externen Zugriff auf
.gitverbieten (Nginx-Deny-Regel) - Quellcode auf hardcodierte IPs prüfen
Vorbereitung 3: DNS-Strategie planen
Welche Hostnames über Cloudflare, welche nicht:
- Hauptdomain und www: zwingend Cloudflare
- Alle öffentlichen Subdomains: ebenfalls Cloudflare (blog, api, img …)
- E-Mail: Eigenbetrieb vermeiden – Drittanbieter
- Interne Dienste: Admin, DB – keine öffentliche DNS, nur Intranet-IP
Cloudflare Best Practices
Vorbereitung erledigt – so verstecken Sie die Origin-IP zuverlässig.
Praxis 1: Vollständiges CDN – alle Subdomains über Cloudflare
Das Wichtigste. In den Cloudflare-DNS-Einstellungen sehen Sie pro Eintrag ein Wolken-Symbol:
- Orange Wolke: Traffic über Cloudflare-Proxy – Origin-IP verborgen
- Graue Wolke: Kein Proxy – direkte Auflösung auf Origin-IP
Alle öffentlichen Hostnames orange. Viele setzen nur die Hauptdomain orange, Subdomains grau – das nützt wenig.
Grau nur bei nicht proxyfähigen Records: MX, TXT-Verifikation usw.
[Bild: Cloudflare DNS-Einstellungen]
Prompt: cloudflare DNS settings screenshot, orange cloud vs gray cloud comparison, highlight the proxy status toggle, clean interface, 16:9
Praxis 2: E-Mail über Drittanbieter, nicht selbst betreiben
E-Mail-Header verraten die Absender-IP. Lösung: kein Versand vom eigenen Server:
- SendGrid: 100 Mails/Tag gratis – für kleine Sites ausreichend
- Amazon SES: Pay-as-you-go, erste 62.000 Mails/Monat gratis (AWS-Konto nötig)
- Mailgun: Free-Tier, freundliche API
API und SMTP verfügbar – Umstellung unkompliziert, Zustellrate oft besser als Eigenbetrieb.
Praxis 3: Firewall-Whitelist – nur Cloudflare-IPs
Kernmaßnahme. Selbst bei bekannter Origin-IP blockiert die Firewall fremden Traffic.
Offizielle IP-Liste:
https://www.cloudflare.com/ips/
Beispiel iptables:
# ⚠️ Wichtig: SSH-Port vorher absichern
# Zuerst in Testumgebung prüfen – nicht aussperren
# Bestehende Regeln leeren
iptables -F
# Loopback erlauben
iptables -A INPUT -i lo -j ACCEPT
# Etablierte Verbindungen erlauben
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH erlauben (eigenen Port anpassen)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Nur Cloudflare-IP-Ranges für 80 und 443
# Beispiel-IPv4-Segmente – vollständige Liste von der Website
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 173.245.48.0/20 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 103.21.244.0/22 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 103.22.200.0/22 -j ACCEPT
# ... alle CF-Ranges hinzufügen ...
# Alle anderen 80/443-Verbindungen ablehnen
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j DROP
# Regeln speichern
iptables-save > /etc/iptables/rules.v4
Konfigurationshinweise:
- Zuerst in Testumgebung prüfen
- SSH-Port (22) offen lassen
- Danach von anderem Gerät (z. B. Handy) testen
- Bei Cloud-Servern: Security Groups in der Konsole – sicherer und bequemer
Nach der Konfiguration: per Mobilfunk direkt die Origin-IP aufrufen – sollte nicht erreichbar sein.
[Bild: Firewall-Schutzschichten]
Prompt: firewall protection layers diagram, cloudflare IP whitelist, block non-cloudflare traffic, security shield icon, professional tech illustration
Praxis 4: Ping-Antworten deaktivieren
Verhindert IP-Block-Scans zur Lokalisierung:
# Ping deaktivieren
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Permanent in /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all = 1
# Anwenden
sysctl -p
Beim Scannen antwortet der Server nicht – wirkt wie ungültige IP.
Erweiterte Schutzmaßnahmen
Für wichtige Sites oder nach Angriffen:
Maßnahme 1: Cloudflare Tunnel (ehemals Argo Tunnel)
Vollständige Entfernung der Origin-IP aus dem öffentlichen Raum.
Auf dem Server läuft cloudflared und baut aktiv einen Tunnel zu Cloudflare:
- Keine offenen 80/443-Ports
- Origin von außen nicht erreichbar
- Gesamter Traffic über verschlüsselten Tunnel
Kurz-Setup:
# cloudflared installieren
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
dpkg -i cloudflared-linux-amd64.deb
# Bei Cloudflare anmelden
cloudflared tunnel login
# Tunnel anlegen
cloudflared tunnel create mytunnel
# Route konfigurieren
cloudflared tunnel route dns mytunnel yourdomain.com
# Tunnel starten
cloudflared tunnel run mytunnel
Nahezu perfekte IP-Verschleierung – etwas komplexer; manche Features nur im Paid-Plan.
Maßnahme 2: Origin-IP regelmäßig rotieren
Für Hochrisiko-Sites: alle 3–6 Monate Server oder IP wechseln. Alte Leaks werden wirkungslos – Kosten je nach Bedeutung der Site.
Maßnahme 3: Anomalie-Monitoring
Bei Zugriffen außerhalb der Cloudflare-IP-Ranges sofort alarmieren:
# Einfaches Monitoring-Skript
tail -f /var/log/nginx/access.log | grep -v -E "(173\.245\.|103\.21\.|103\.22\.)" | while read line
do
echo "Alert: Non-CF IP access! $line"
# E-Mail- oder SMS-Alarm anbinden
done
Direktversuche auf die Origin-IP werden sofort sichtbar.
Maßnahme 4: Keine hardcodierten IPs im Quellcode
Alle API-Aufrufe und Ressourcen über Domains, nicht IPs:
// Falsch
fetch('http://123.456.78.90/api/data')
// Richtig
fetch('https://api.yourdomain.com/data')
Frontend-Code verrät so keine Origin-IP.
Bereits geleakt – was tun?
Kein Grund zur Panik. Historische Einträge verschwinden nicht – aber Sie können das Risiko deutlich senken.
Schritt 1: Origin-IP sofort wechseln
Effektivste Maßnahme. Neuen Server oder neue öffentliche IP, dann Migration.
Kosten (Richtwerte):
- IP-Wechsel: oft kostenlos oder 10–20 Yuan
- Neuer Mindestserver (1 vCPU, 2 GB): ~30–50 Yuan/Monat
- Migration kleiner Sites: ~30 Minuten
Alten Server ein paar Tage behalten – sicherstellen, dass der neue stabil läuft.
Schritt 2: Firewall-Whitelist
Bei korrekter Firewall kommen Angreifer nicht durch – auch mit bekannter IP.
iptables oder Security Group: nur Cloudflare-Ranges für 80/443. Vorsicht:
- Zuerst in Testumgebung
- SSH-Port (22) offen lassen
- Danach von anderem Gerät testen
Fehlkonfiguration kann aussperren – VNC über die Cloud-Konsole rettet, ist aber mühsam.
Schritt 3: Cloudflare Rate Limiting
Begrenzt Anfragen pro IP. Free-Tier limitiert; Pro (~20 USD/Monat) erlaubt feinere Regeln:
- Max. 10 Requests pro 10 Sekunden pro IP
- Überschreitung → Block oder Challenge
- Schutz für bestimmte Pfade
Wirksam gegen kleinere Angriffe.
Schritt 4: DDoS-Schutz-IP erwägen
Bei häufigen Angriffen oder kritischer Infrastruktur: Alibaba, Tencent, Baidu bieten Anti-DDoS-IPs:
- Nach Bandbreite: Festpreis für z. B. 20 Gbit/s Schutz
- Nach Angriffsvolumen: Niedrige Grundkosten, bei Angriff Aufschlag
- Kosten: Hunderte bis Zehntausende Yuan/Monat je nach Stufe
Für private Sites oft teuer – für E-Commerce oder Game-Server lohnenswert.
Schritt 5: Monitoring und schnelle Reaktion
Bei anomalem Traffic oder Direktzugriffen sofort handeln:
- Cloudflare-Benachrichtigungen bei Traffic-Spitzen
- Monitoring mit Zabbix oder Prometheus
- Bei Angriff: DNS temporär auf Backup-Server
Geschwindigkeit zählt – Stunden Verzögerung können hohe Traffic-Kosten bedeuten.
Fazit
Origin-IP-Leaks sind systemisch – Cloudflare allein reicht nicht. Von DNS-Historie über E-Mail-Header bis Subdomain-Scan und SSL-Zertifikate: Die Wege sind vielfältig.
Die wichtigsten Maßnahmen:
- Vollständiges CDN – alle öffentlichen Hostnames über Cloudflare, orange Wolke
- Firewall-Whitelist – nur Cloudflare-IPs – letzte Verteidigungslinie
- E-Mail outsourcen – SendGrid, SES – kein Versand vom eigenen Server
- Regelmäßige Selbstprüfung – Tools aus diesem Artikel nutzen
Noch ohne Cloudflare? Jetzt von Anfang an richtig konfigurieren. Bereits aktiv, unsicher ob Leak? Zehn Minuten Selbstcheck.
Leak entdeckt? Neue IP, Firewall, übrige Maßnahmen – Problem beherrschbar.
Origin-IP-Schutz ist dauerhaft, kein Einmal-Job. Neue Subdomains hinter CDN, Konfiguration ohne IP-Leak, regelmäßige Kontrolle.
Starten Sie mit SecurityTrails und DNS-Historie. Bei Befund: Schritte in diesem Artikel. Etwas Aufwand – besser als Serverausfall durch DDoS.
Vollständiger Ablauf: Origin-IP-Leak erkennen und absichern
Von der Leak-Erkennung bis zum vollständigen Schutzplan – sieben Leak-Pfade, Detektionsmethoden und Firewall-Best-Practices
Estimated time: PT2H
-
1
Step 1: Origin-IP-Leak prüfen: DNS-Historie und E-Mail-Header
Prüfung 1: DNS-Historie -
2
Step 2: Subdomain-Scan und globaler Ping
Prüfung 3: Subdomain-Scan -
3
Step 3: SSL-Zertifikat und Cyberspace-Suche
Prüfung 5: SSL-Zertifikatsabfrage -
4
Step 4: Vorbereitung: IP wechseln und Spuren bereinigen
Vorbereitung 1: Origin-IP wechseln oder neuen Server -
5
Step 5: Cloudflare Best Practices: Vollständiges CDN und Firewall
Praxis 1: Alle Subdomains über Cloudflare -
6
Step 6: Erweiterte Maßnahmen und Sofortmaßnahmen bei Leak
Erweiterte Maßnahmen:
FAQ
Was ist ein Origin-IP-Leak? Warum greift man trotz Cloudflare mit DDoS an?
• Mit Cloudflare oder einem CDN rufen Nutzer Cloudflare-Knoten auf; Cloudflare leitet Anfragen an Ihren echten Server (Origin) weiter
• Angreifer sehen nur Cloudflare-IPs, nicht Ihre Origin-IP
• Kennt ein Angreifer die Origin-IP, ist das CDN wirkungslos
• Er kann den echten Server direkt angreifen und alle Cloudflare-Schutzmechanismen umgehen
Schaden:
• Serverausfall (DDoS trifft den Origin direkt – Server bricht zusammen)
• Explodierende Traffic-Kosten (viele Cloud-Server berechnen Traffic – ein Angriff kann die Rechnung explodieren lassen)
• Datenrisiko (bei Sicherheitslücken umgeht der Angreifer WAF und CDN)
Laut Cloudflare-Bericht Q4 2024 wurde der größte beobachtete DDoS-Angriff mit 5,6 Tbps gemessen. Solche Monsterangriffe treffen normale Sites selten – aber schon wenige Gbit/s überfordern kleine Server.
Viele glauben, Cloudflare reiche – doch die Origin-IP ist oft längst über DNS-Historie, E-Mail-Header oder Subdomain-Scans bekannt. Sie wissen es nur noch nicht.
Was sind die sieben häufigsten Leak-Pfade – und wie hoch ist das Risiko?
• Häufigster und am leichtesten übersehene Pfad
• Viele zeigen die Domain zuerst auf die echte IP, Cloudflare kommt später
• DNS-Einträge werden von Drittanbietern dauerhaft archiviert – SecurityTrails, DNSdumpster u. a.
• Typischer Fehler: Monate mit echter IP, dann erst Cloudflare – alte Einträge bleiben sichtbar
Weg 2: E-Mail-Server-Header (Risiko: hoch)
• Sehr versteckt – Registrierungs-, Passwort-Reset- und RSS-Mails enthalten die Absender-IP im Header
• Eigenes Mail-Setup oder Versand direkt vom Webserver = Leak
• Angreifer: Account anlegen, Bestätigungsmail öffnen, Received-Feld prüfen
Weg 3: Subdomain-Scan (Risiko: mittel-hoch)
• Hauptdomain hinter Cloudflare, aber mail.example.com, admin.example.com, dev.example.com oft direkt auf Origin
• Tools wie Sublist3r oder OneForAll finden Subdomains; ein Ping mit echter IP genügt
Weg 4: Quellcode-Leaks (Risiko: mittel)
• phpinfo(), offenes .git, Debug-Logs, hardcodierte API-IPs in Code
Weg 5: SSL-Zertifikatsabfrage (Risiko: mittel)
• Certificate Transparency protokolliert alle Zertifikate – crt.sh, Censys zeigen historische IP-Bindungen
Weg 6: DNS-Unterschiede im Ausland (Risiko: mittel-niedrig)
• CDNs nur in einer Region: ausländische Resolver können Origin-IP zurückgeben
Weg 7: C-Block-Scan und Co-Hosting (Risiko: niedrig)
• Mehrere Sites auf einem Server – eine ungeschützte Site verrät den Rest
Wie prüfe ich, ob meine Origin-IP geleakt ist? Welche Tools gibt es?
DNS-Historie:
• SecurityTrails, DNSdumpster
• Inhalt: historische DNS-Einträge
• Schwierigkeit: einfach
E-Mail-Header:
• Originalansicht im Mail-Client
• Inhalt: Absender-Server-IP
• Schwierigkeit: mittel
Subdomain-Scan:
• Sublist3r, OneForAll
• Inhalt: alle Subdomain-Auflösungen
• Schwierigkeit: mittel
Globaler Ping-Test:
• ping.pe, 17ce.com
• Inhalt: IP-Konsistenz weltweit
• Schwierigkeit: einfach
SSL-Zertifikat:
• crt.sh, Censys
• Inhalt: Zertifikatshistorie mit IPs
• Schwierigkeit: mittel
Cyberspace-Suche:
• Shodan, Fofa
• Inhalt: exponierte Ports
• Schwierigkeit: schwerer
Server-Logs:
• tail auf Access-Logs
• Inhalt: Direktzugriffe auf Origin-IP
• Schwierigkeit: mittel
Schritte:
1) DNS-Historie: SecurityTrails, DNSdumpster, Netcraft – IP vor Cloudflare = Leak
2) E-Mail-Header: Test-Registrierung, Originalmail öffnen, Received/X-Originating-IP prüfen; SendGrid/SES = OK
3) Subdomains: dig oder Scanner, jede Subdomain pingen
4) Globaler Ping: ping.pe oder 17ce.com – unterschiedliche IPs je Region = Verdacht
5) SSL: crt.sh nach Domain suchen
6) Shodan/Censys/Fofa nach Domain oder Fingerabdruck
7) Logs: Direktzugriffe ohne Cloudflare-IP-Range = jemand kennt Ihre Origin-IP
Wie konfiguriere ich Cloudflare und Firewall gegen Origin-IP-Leaks?
1) Vollständiges CDN – alle Subdomains über Cloudflare
• Orange Wolke = Proxy, versteckt Origin-IP
• Graue Wolke = direkte Auflösung auf Origin-IP
• Alle öffentlichen Hostnames orange; nur MX, TXT etc. grau
2) E-Mail über Drittanbieter
• SendGrid (100 Mails/Tag gratis), Amazon SES (62.000/Monat gratis mit AWS), Mailgun
• Kein Versand vom eigenen Server
3) Firewall-Whitelist nur für Cloudflare-IPs
• Liste: https://www.cloudflare.com/ips/
• iptables: SSH erlauben, nur CF-Ranges für 80/443, Rest DROP
• Vorher in Testumgebung prüfen, SSH-Port offen lassen, danach per Mobilfunk Origin-IP testen
4) Ping deaktivieren
• echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
• Permanent: net.ipv4.icmp_echo_ignore_all = 1 in /etc/sysctl.conf, sysctl -p
Origin-IP bereits geleakt – was tun?
1) Origin-IP sofort wechseln
• Neue Instanz oder neue öffentliche IP, Migration
• Kosten: IP-Wechsel oft kostenlos oder 10–20 Yuan; kleinster Server ~30–50 Yuan/Monat; Migration ~30 Min.
2) Firewall-Whitelist
• Nur Cloudflare-IPs für 80/443 – Angreifer kommen nicht durch
• Vorsicht: nicht ausgesperrt werden (VNC-Konsole als Rettung)
3) Cloudflare Rate Limiting
• Pro-Plan ~20 USD/Monat für feinere Regeln, z. B. 10 Requests/10s pro IP
4) DDoS-Schutz-IP
• Alibaba, Tencent, Baidu – je nach Schutzstufe hunderte bis zehntausende Yuan/Monat
5) Monitoring
• Cloudflare-Benachrichtigungen, Zabbix/Prometheus, bei Angriff DNS auf Backup-Server
Was ist Cloudflare Tunnel – und wie versteckt er die Origin-IP vollständig?
Prinzip:
• cloudflared auf dem Server verbindet sich aktiv mit Cloudflare
• Keine offenen 80/443-Ports nach außen
• Gesamter Traffic über verschlüsselten Tunnel
Kurz-Setup:
1. cloudflared installieren
2. cloudflared tunnel login
3. cloudflared tunnel create mytunnel
4. cloudflared tunnel route dns mytunnel yourdomain.com
5. cloudflared tunnel run mytunnel
Fast perfekte IP-Verschleierung – etwas komplexer, manche Features nur im Paid-Plan.
Vorteil gegenüber klassischem CDN-Proxy: Server braucht keine Inbound-Ports; selbst bekannte IP ist nicht erreichbar.
Bei hohen Sicherheitsanforderungen oder nach Angriffen: Tunnel dringend empfohlen.
11 Min. Lesezeit · Veröffentlicht am: 1. Dez. 2025 · Aktualisiert am: 9. Juli 2026
Cloudflare Full Stack
Wenn du über die Suche hier gelandet bist, kommst du am schnellsten weiter, indem du zum vorherigen oder nächsten Beitrag dieser Serie springst.
Vorheriger
Cloudflare Origin-IP-Whitelist: 3 Methoden zum Blockieren von Nicht-CF-Traffic und Schutz des Origin-Servers
Origin-IP-Leak macht Cloudflare-Schutz wirkungslos? Drei Whitelist-Lösungen (BT-Panel, reines Nginx, Origin-Zertifikat) mit vollständiger IP-Liste, Konfiguration, Troubleshooting und Auto-Update-Skript – Schritt-für-Schritt-Schutz für Ihren Origin-Server.
Teil 9 von 23
Nächster
Cloudflare als „Brems-CDN“? 3 Schritte zur IP-Optimierung – bis zu 5× schneller
Mit CloudflareSpeedTest die IP mit der niedrigsten Latenz finden, in 10 Minuten einen bevorzugten Knoten konfigurieren und die Zugriffsgeschwindigkeit von 280 ms auf 45 ms senken – getestet 3–5× schneller, inkl. Tutorial, Parameter-Tuning und Troubleshooting
Teil 11 von 23
Ähnliche Beiträge
Cloudflare Free Plan Limits 2026: Free, Pro und Business richtig wählen

Cloudflare Free Plan Limits 2026: Free, Pro und Business richtig wählen
Cloudflare Pages: Statischen Blog deployen – 5 Frameworks ohne typische Fehler


Kommentare
Melde dich mit GitHub an, um einen Kommentar zu hinterlassen