WEB防火墙

9月28日 · 2015年

CCKiller:Linux轻量级CC攻击防御工具,秒级检查、自动拉黑和释放

252
张戈博客很久以前分享过一个CC 攻击的防御脚本,写得不怎么样,不过被 51CTO 意外转载了。博客从此走上了经常被人拿来练手的不归之路。 当然,还是有不少朋友在生产环境使用,并且会留言询问相关问题。根据这些问题的需求,我花了一些时间重新写了一个比较满意的轻量级 CC 攻击防御脚本,我给它取了一个比较形象的名字:CCKiller,译为 CC 终结者。 一、功能申明 分享之前我必须先申明一下,众所周知,DDoS 攻击指的是分布式拒绝服务。而 CC 攻击只是 DDoS 攻击的一种,本文所阐述的 CC 攻击,指的是单个 IP 达到我们设定好的阈值并发请求,而非海量 IP 的低并发攻击!对于个人低配服务器,除了使用 CDN 来防护,至少我是没有想到如何抵挡海量 IP 攻击的!因为每个 IP 都模拟正常的用户浏览器请求,并不会触发防御阈值,同时来 1000 个,甚至上万个,个人低配服务器的带宽在第一时间就会被占满,就无法继续提供服务了。 当然,用脚本也是无法防御 DDoS 大流量攻击的,因为所有机房的防御带宽是有限的,当攻击的流量超过了机房的防御带宽,要么机房把你的服务器 IP 拉黑洞,要么就一起死。因此,如果你的服务器正遭受大流量攻击,比如几十 G…
4月4日 · 2015年

浅谈个人博客网站or屌丝vps服务器暴露真实IP的危险性

86
经常关注张戈博客的朋友应该注意到,张戈在以往的文章中多次提到要隐藏我们网站服务器的真实 IP,比如最近分享的《阿里云盾网站安全防御(WAF)的正确使用方法》,肯定有不少人心怀疑问,这是为什么呢? 一、为啥隐藏真实 IP? 今天,抛出这样一个话题,也是为了提醒那些还懵懵懂懂,毫无设防的屌丝站长们!我们是小网站,我们用的也是屌丝服务器,不像腾讯、网易那些大站用的是价格昂贵、性能卓越的高性能、高可用集群。我们这种屌丝服务器一旦被人恶意攻击基本玩完! 也许,大部分人和我有一样的想法:这有啥,开启高防 CDN 啊!比如百度云加速、360 网站卫士以及安全宝等。确实,使用国内免费的高防 CDN 是我们这种屌丝服务器的最佳选择。 当我们使用了高防 CDN 之后,用户访问路径如下: 用户请求–>高防 CDN 节点–>源服务器 攻击请求就落到分布式大带宽的 CDN 节点,如果合理设置好缓存项目,我们的服务器几乎不会受到影响。 看到这,你是否对今天这个话题嗤之以鼻?心里想着暴露真实 IP 有什么问题?我开启百度云加速不就好了嘛! 不错,这应该就是大部分人的想法了,当然肯定还有大部分人对暴露真实 IP 无动于衷,不知道有什么危害。 好吧,再往下看你是否依然淡定。 一旦真实 IP 暴露,攻击者只要在攻击时用类似于 hosts 手段指定 IP 去攻击,那就神马 CDN 都是浮云了!因为攻击请求已绕过了…
2月28日 · 2015年

阿里云盾网站安全防御(WAF)的正确使用方法

22
将 2 个网站搬到阿里云,一个是因为阿里云稳定,另一个就是牛逼轰轰的云盾了。之前在博客联盟群里模拟 CC 攻击过搭建在阿里云 ECS 上的博客,结果云盾毫无反应,而网站已经挂了。 这次特意细看了一下云盾上的 CC 防护功能,发现有部分朋友估计并未正确使用 WAF。所以,我在本文就简单的分享一下阿里云盾-WAF 网站防御的正确使用方法。 一、域名解析 大部分朋友,只是开启了云盾就不管了,这也就是很多朋友受到 CC 攻击后,云盾却毫无反应的原因了。实际上 WAF 防御必须配合域名解析来使用。 阿里云的 WAF 网站防御实际上相当于没有缓存机制的百度云加速或 360 网站卫士,不过只能用 cname 接入方式,后续是否会结合万网解析,新增 NS 接入方式就不得而知了: 如上图所示,要开启 WAF 网站防御,就必须在域名解析那,将主机记录 cname 到云盾生成的 CNAME 地址。这时用户访问网站是这样一个情况: 用户浏览器 →…
11月5日 · 2014年

Linux系统防CC攻击自动拉黑IP增强版Shell脚本

52
最新更新:张戈博客已推出功能更强大的轻量级 CC 攻击防御脚本工具 CCKiller==>传送门 前天没事写了一个防 CC 攻击的 Shell 脚本,没想到这么快就要用上了,原因是因为 360 网站卫士的缓存黑名单突然无法过滤后台,导致 WordPress 无法登录!虽然,可以通过修改本地 hosts 文件来解决这个问题,但是还是想暂时取消 CDN 加速和防护来测试下服务器的性能优化及安全防护。 前天写的 Shell 脚本是加入到 crontab 计划任务执行的,每 5 分钟执行一次,今天实际测试了下,可还是可以用的,但是感觉 5 分钟时间有点过长,无法做到严密防护。于是稍微改进了下代码,现在简单的分享下! 一、Shell 代码 #!/bin/bash #Author:ZhangGe #Desc:Auto Deny Black_IP Script. #Date:2014-11-05 #取得参数$1…
11月3日 · 2014年

VPS/Linux系统防CC攻击带白名单过滤功能的Shell脚本

4
最新更新:张戈博客已推出功能更强大的轻量级 CC 攻击防御脚本工具 CCKiller==>传送门 根据我个人 VPS 需求,并参考了余洪春前辈的《自动甄别黑白名单的 iptables 安全脚本》,编写如下 Shell 代码。 脚本名称:自动拉黑 CC 攻击者 IP 的 Shell 脚本 功能说明:通过 netstat -an 命令统计出当前请求并发大于 100 的 IP,然后将不在白名单的 IP 自动加入 DROP 规则 使用说明: ①、在 Linux 系统下将以下代码保存为 shell 脚本,比如:deny_ip.sh,并执行 chmod+x…
1月10日 · 2014年

Win平台Web访问白名单设置脚本(IP安全性原则)

0
最近老是有用户申请开通某网站的访问权限,我接手之前浏览权限的设置方法是修改 tomcat 下的 server.xml 配置文件,通过定义 allow=”IP..”的访问规则来控制浏览权限。这种方法有个很不好的地方,每加一次权限,你就得重启一次 tomcat,用户老是挤牙膏一样,一次一两个 IP 的发邮件来申请开通,不但很烦人,而且对正在使用的用户体验也非常的糟糕!于是我决定要改善这个糟糕的局面。 在 Linux 下,我们都是通过配置防火墙 iptables 来控制 80 端口的访问的,结果到了 windows 下,估计前面的人也没深究如何进行类似的设置,于是就使用了那个蹩脚的方法! 我在接手 WEB 运维之前,做过一段时间的 PC 维护,当时公司为了安全考虑需要封堵一些后门端口,我也因此编写过相关的封端口的脚本,所以看到 windows 平台的 WEB 防火墙问题,自然而然就想到了通过封堵 80 端口来控制浏览权限的方法。 在非 Server(windows XP/7 等)的环境下,要通过命令行来设置IP 安全性原则是需要用到一个叫做 ipseccmd.exe 的命令行工具的,而今天是…