📌 原文链接:https://blog.kejilion.pro/...
🕘 收藏时间:2024年08月16日
📂 文档目录:我的云文档
📑 本文档由【金山收藏助手】一键生成
网站防御再升级 fail2ban 对接 cloudflare 智能拦截恶意攻击
KEJILION•2024年4月2日 pm12:38•建站教学
花了整整一天时间,我还是太蠢了,好在功夫不负有心人。
我们可以防御常见的404攻击和503攻击,更稳健,发现暴力攻击直接拉黑IP。关小黑屋1小时。让脚本黑客小子有来无回!
404攻击是常见的套路也是部分php应用的软肋,404原本是为了标记找不到文件用的错误状态码,但是攻击者会故意触发404,发送大量随机无效的请求,再加上wpWordPress网站是php驱动的,这些请求nginx发现找不到文件直接重写到php入口文件,nginx也很无奈只能当甩手掌柜,这是大部分php应用运行机制,所以请求都会来到PHP再到达数据库找数据资源,请求量异常大对数据库mysql造成巨大压力,再牛逼的独立服务器都不一定能抗,更何况我的2+4小鸡,目的是榨干你服务器性能。让你网站宕机无法访问。所以硬抗就只有死路一条。我找了很多方法都解决不了这个问题。只能回归封禁IP这条路了。
503是拒绝访问,大多在nginx层面配置请求频率限制后出现的,目的是防止单一IP高频请求,设立的封堵机制。他的封堵目的是为后端php,mysql减轻压力用的。但也很局限,因为只是瞬间阻止而已。再次请求还会受理。这种大量请求也会影响正常用户访问网站,触发503服务器暂时不可用。所以上fail2ban也会借助503状态码封禁恶意IP。
以前对fail2ban的运用一直有缺陷,无法拦截docker应用的访问请求。也知道docker网络是独立的。无意间发现有前辈已经搞定了,所以我直接用上了。
不过我比他更进阶了,已经对接cf的防御。因为开了CDN后用户的源IP被cf代理了,所以我们封禁该IP无效,只能让cf出面封禁访问IP。来达到网站恶意请求完美封禁。
接下来将分为两部分一部分是源站自主防御,另一部分开CDN后的防御。