前几天刚用 GitHub 学生优惠在 DigitalOcean 上开了人生第一台小鸡，托管了心心念念的域名，想着终于有自己的“赛博地盘”了。本着炫耀的心态跟室友（非网安专业，甚至大家都没学过计组）显摆了一下。 
结果室友“邪魅一笑”，反手打开 Gemini 问起了攻击思路。我当时觉得既然跟着教程走了，还特意套了 Cloudflare 盾，应该挺稳了。结果下午一看监控：访问量暴涨几十万，而且大多请求直接绕过 CF 打到了源站 IP 上！ 🫠🫠🫠 
一问才发现，他根本没去硬刚 CF 的节点，而是直接在 Censys 上通过搜索域名相关的 HTTPS 证书指纹，轻而易举地反查到了我的源站 IP。 
原来现在攻击的门槛如此之低吗… 后续打算用Cloudflare Origin CA 证书，然后再升级升级源站本身的防御（不过应该也不会有人来攻击我的博客了 😄）