运维

Nginx lua waf 简单防御CC攻击

MarginNote 3 - Mac端PDF阅读批注工具 激活码价格:¥69.00
赤友 NTFS for Mac 助手 -  磁盘硬盘格式读写软件注册激活码价格:¥35.00
虫洞 -  iPhone安卓投屏操控 电脑手机多屏协同,价格:¥45.00
namesilo全网最便宜域名注册商,输入折扣码:nsilo20立减1美元!

Nginx lua waf 简单防御CC攻击这是个类似 Cloudflare 的防 cc 功能,利用的是五秒盾的原理,经过检测得到 cookie 的浏览器才能正常的访问你的网站了。搭配 Nginx_lua_waf 使用效果更佳!

Nginx_lua_waf 用途:

防止 sql 注入,本地包含,部分溢出,fuzzing 测试,xss,SSRF web 攻击
防止 svn/备份之类文件泄漏
防止 ApacheBench 之类压力测试工具的攻击
屏蔽常见的扫描黑客工具,扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录 php 执行权限
防止 webshell 上传

效果图如下:

Nginx lua waf 简单防御CC攻击这里为了方便直接在军哥的 lnmp 上直接安装,安装前修改 /lnmp1.5/lnmp.conf 后再安装 lnmp

Enable_Nginx_Lua='y'       //把 n 修改为 y

春哥原版春哥修改版

使用说明:

nginx 安装路径为:/usr/local/nginx/conf/ ngx_lua_waf 下载到 conf 目录下,解压命名为 waf
nginx.confhttp 段添加

lua_package_path "/usr/local/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file  /usr/local/nginx/conf/waf/init.lua; 
access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

配置 config.lua 里的 waf 规则目录(一般在 waf/conf/目录下)

RulePath = "/usr/local/nginx/conf/waf/wafconf/"

然后重启 nginx 即可

service nginx restart

配置文件详细说明:

    RulePath = "/usr/local/nginx/conf/waf/wafconf/"
    --规则存放目录
    attacklog = "off"
    --是否开启攻击信息记录,需要配置 logdir
    logdir = "/usr/local/nginx/logs/hack/"
    --log 存储目录,该目录需要用户自己新建,切需要 nginx 用户的可写权限
    UrlDeny="on"
    --是否拦截 url 访问
    Redirect="on"
    --是否拦截后重定向
    CookieMatch = "on"
    --是否拦截 cookie 攻击
    postMatch = "on" 
    --是否拦截 post 攻击
    whiteModule = "on" 
    --是否开启 URL 白名单
    black_fileExt={"php","jsp"}
    --填写不允许上传文件后缀类型
    ipWhitelist={"127.0.0.1"}
    --ip 白名单,多个 ip 用逗号分隔
    ipBlocklist={"1.0.0.1"}
    --ip 黑名单,多个 ip 用逗号分隔
    CCDeny="on"
    --是否开启拦截 cc 攻击(需要 nginx.conf 的 http 段增加 lua_shared_dict limit 10m;)
    CCrate = "100/60"
    --设置 cc 攻击频率,单位为秒.
    --默认 1 分钟同一个 IP 只能请求同一个地址 100 次
    DenySeconds="360"
    --原来攻击被封默认 60 秒,这里修改为自定义,我这设定为 360 秒(这里是新加的)
    html=[[Please go away~~]]
    --警告内容,可在中括号内自定义

部署完毕可以尝试如下命令:

curl http://xxxx/test.php?id=../etc/passwd

返回"WAF Block page"字样,说明规则生效。
注意:默认,本机在白名单不过滤,可自行调整 config.lua 配置

修改说明:

修改正则过滤函数改为 ngx.re.find,匹配效率会提高三倍左右
增加封 IP 时间自定义控制
增加不过滤搜索引擎
WordPress 5秒盾防CC(PHP通用代码) 这是个类似Cloudflare的防 cc功能,利用的是5秒盾的原理,经过检测得到 cookie 的浏览器才能正常的访问你的网站了,面对数以万计的肉鸡,这代码还是无能为力的,所以说做人就要低调,别到处装逼,到时候被打了惨的还是自己,下面分享给... 时间:2019-3-24 阅读:8.69K 评论:0 阅读全文

(0)

本文由 podipod软库网 作者:DevOps 发表,转载请注明来源!

关键词:, , ,
ToDesk - 安全好用流畅远程控制软件 替代TeamViewer,价格:¥108.00
Eagle - 图片收集管理必备软件 激活码价格:¥119.00
PDF Expert 2 - Mac上优秀的PDF阅读编辑工具,价格:¥119.00

热评文章

发表评论