Cloudflare自动检测恶意IP拉黑到防火墙和自动切换5秒盾防CC攻击

已于 2023-03-09 03:49:12 修改
阅读量2k 收藏 9
点赞数 1
分类专栏: CC防御 文章标签: tcp/ip php 网络
于 2023-03-09 03:45:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012241616/article/details/129415145
版权

资源宝分享:www.httple.net

Cloudflare很多朋友都在使用,如果你的网站服务器架设在国外,那Cloudflare是一个非常好的加速工具,一可以为你的网站进行加速,二可以给你的网站提供防护

网站遭遇非常强大的CC和DDoS攻击时,启用Cloudflare经典的5秒盾防攻击,设置一个定时任务,当系统负载超过某一个值,调用Cloudflare API启用5秒盾。

一、Cloudflare自动拉黑恶意IP

利用脚本分析在一分钟单个IP访问的频率,超过一定的频率(一般来正常的访问,一分钟内应该不超过60次,你可以设置为更小),即认定为恶意IP。脚本如下:

#/bin/bash

#日志文件,你需要改成你自己的路径

logfile=/data/wwwlogs/

last_minutes=1 

#开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)

start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'

echo $start_time

#结束时间现在

stop_time=`date +"%Y-%m-%d %H:%M:%S"`

echo $stop_time

cur_date="`date +%Y-%m-%d`" 

echo $cur_date

#过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径

tac $logfile/sky.ucblog.net_nginx.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10

ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`

ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`

# 单位时间[1分钟]内单ip访问次数超过2次的ip记录入black.txt,这里wzfou.com为了测试设置了2,你需要改成其它的数字

for line in $ip

do

echo $line >> $logfile/black.txt

echo $line

# 这里还可以执行CF的API来提交数据到CF防火墙

done

批量添加IP到防火墙
使用以下代码就可以将恶意IP批量添加到Cloudflare的防火墙了,记得替换为你的Cloudflare API。

#!/bin/bash
# Author: Zhys
# Date  : 2018

# 填Cloudflare Email邮箱
CFEMAIL="freehao123@gmail.com"
# 填Cloudflare API key
CFAPIKEY="xxxxxxxxxxxxxxxx"
# 填Cloudflare Zones ID 域名对应的ID
ZONESID="xxxxxxxxxxxxxxxxxxxx"

# /data/wwwlogs/black.txt存放恶意攻击的IP列表
# IP一行一个。
IPADDR=$(</data/wwwlogs/black.txt)

# 循环提交 IPs 到 Cloudflare  防火墙黑名单
# 模式(mode)有 block, challenge, whitelist, js_challenge
for IPADDR in ${IPADDR[@]}; do
echo $IPADDR
curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \
  -H "X-Auth-Email: $CFEMAIL" \
  -H "X-Auth-Key: $CFAPIKEY" \
  -H "Content-Type: application/json" \
  --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'
done

# 删除 IPs 文件收拾干净
rm -rf /data/wwwlogs/black.txt

自动找出恶意IP并添加到防火墙
直接将上面两个脚本合并到一个脚本即可。

#/bin/bash

#日志文件,你需要改成你自己的路径

logfile=/data/wwwlogs/

last_minutes=1 

#开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)

start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'

echo $start_time

#结束时间现在

stop_time=`date +"%Y-%m-%d %H:%M:%S"`

echo $stop_time

cur_date="`date +%Y-%m-%d`" 

echo $cur_date

#过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径

tac $logfile/sky.ucblog.net_nginx.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10

ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`

ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`

# 单位时间[1分钟]内单ip访问次数超过2次的ip记录入black.log,这里为了测试设置2,你需要改成其它的数字

for line in $ip

do

echo $line >> $logfile/black.txt

echo $line

# 这里还可以执行CF的API来提交数据到CF防火墙

done

# 填Cloudflare Email邮箱
CFEMAIL="freehao123@gmail.com"
# 填Cloudflare API key
CFAPIKEY="xxxxxxxxxxxxxxxxxxxxxxxx"
# 填Cloudflare Zones ID 域名对应的ID
ZONESID="xxxxxxxxxxxxxxxxxxxxxxxxxxx"

# /data/wwwlogs/black.txt存放恶意攻击的IP列表
# IP一行一个。
IPADDR=$(</data/wwwlogs/black.txt)

# 循环提交 IPs 到 Cloudflare  防火墙黑名单
# 模式(mode)有 block, challenge, whitelist, js_challenge
for IPADDR in ${IPADDR[@]}; do
echo $IPADDR
curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \
  -H "X-Auth-Email: $CFEMAIL" \
  -H "X-Auth-Key: $CFAPIKEY" \
  -H "Content-Type: application/json" \
  --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'
done

# 删除 IPs 文件收拾干净
 rm -rf /data/wwwlogs/black.txt

上面的脚本我已经放在我的下载中心,可以提供给大家下载使用,代码如下:

wget https://do.wzfou.net/shell/attack-ip.sh
chmod +x /qicmd/cfblockip.sh
./cfblockip.sh

wget https://do.wzfou.net/shell/attack-ip.sh
chmod +x /qicmd/attack-ip.sh
./attack-ip.sh

wget https://do.wzfou.net/shell/cf-block-attack-ip.sh
chmod +x /qicmd/cf-block-attack-ip.sh
./cf-block-attack-ip.sh

最后,设置一个定时任务,让脚本每过一分钟检测一次(请根据需要来调整,关于定时任务的使用参考:Linux Crontab命令定时任务基本语法)

* * * * * /bin/bash /root/cf-block-attack-ip.sh > /tmp/ou1t.log 2>&1

自动添加恶意IP到CloudFlare防火墙的效果如下:
在这里插入图片描述

Cloudflare自动切换5秒盾脚本

网站:

https://github.com/Machou/Cloudflare-Block

当你的服务器受到攻击时,系统负载就会爆增,利用脚本自动检测系统负载,当压力超过一定的值时就可以切换为” I’m Under Attack! “模式了。操作步骤如下:

#下载
cd /root && git clone https://github.com/Machou/Cloudflare-Block.git DDoS

#打开Cloudflare.sh,修改配置
API_KEY			You're Global API Key (https://dash.cloudflare.com/profile)
MAIL_ACCOUNT		Email of your Cloudflare account
DOMAIN			Zone ID (https://dash.cloudflare.com/_zone-id_/domain.com)

#设置定时任务
crontab -e

*/1 * * * * /root/DDoS/Cloudflare.sh 0 # check every 1 minute if protection is not enabled
*/20 * * * * /root/DDoS/Cloudflare.sh 1 # check every 20 minutes if protection is enabled

脚本默认的是检测系统负载为10,启动” I’m Under Attack! “模式,你以根据需要来调整。如下图:
在这里插入图片描述
完整的脚本代码如下:

#!/bin/bash


# $1 = 1min, $2 = 5min, $3 = 15min
loadavg=$(cat /proc/loadavg|awk '{printf "%f", $1}')


# load is 10, you can modify this if you want load more than 10
maxload=10


# Configuration API Cloudflare
# You're Global API Key (https://dash.cloudflare.com/profile)
api_key=
# Email of your account Cloudflare
email=
# Zone ID (https://dash.cloudflare.com/_zone-id_/domain.com)
zone_id=     


# create file attacking if doesn't exist
if [ ! -e $attacking ]; then
  echo 0 > $attacking
fi

attacking=./attacking


hasattack=$(cat $attacking)


if [ $(echo "$loadavg > $maxload"|bc) -eq 1 ]; then

  if [[ $hasattack = 0 && $1 = 0 ]]; then

    # Active protection
    echo 1 > $attacking
    curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level" \
            -H "X-Auth-Email: $email" \
            -H "X-Auth-Key: $api_key" \
            -H "Content-Type: application/json" \
            --data '{"value":"under_attack"}'
  fi

  else
    if [[ $hasattack = 1 && $1 = 1 ]]; then

    # Disable Protection
    echo 0 > $attacking
    curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level" \
            -H "X-Auth-Email: $email" \
            -H "X-Auth-Key: $api_key" \
            -H "Content-Type: application/json" \
            --data '{"value":"high"}'
  fi
fi

exit 0

总结
Cloudflare是一个非常好用的防御DDos和CC攻击的工具,免费版本的Cloudflare结合API可以实现更加灵活的功能,对于普通的防御足够自己使用了。

云博客-资源宝
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
如何在 CloudFlare 里屏蔽/拦截某个 IP 或者 IP 地址段
草根博客站长明月登楼的CSDN博客
05-11 928
好了,到这里就给大家分享完 CloudFlare 如何屏蔽拦截 IPIP 地址段了,如果不知道什么是 IP 地址段的话,可以理解是 IP 地址的一个特定范围,没有必要尽量不要去拦截 IP 地址段,误伤率是非常高的,严重的掉收录、被 K 站都有可能,所以屏蔽拦截 IP 地址段要慎重,不懂的话可以多多百度/谷歌一下!
Python针对Cloudflare的假5秒盾验证逆向
u010263350的博客
09-22 3374
一旦有了这个"Just a moment"的验证页面,再f12打开查看,页面的请求方式就变成了post,而且包含一堆数据。先try get方法,等解析数据报错的时候except切换到Post方法,header,cookie,referer都全部切换。然后实例化方法运行,ok,pycharm里测试运行正常,然后pyinstaller打包exe本机测试可以运行。谷歌大法开启,搜just a moment,5秒盾。我满心欢喜的把exe包复制到win 2012服务器上运行,报错报错报错,草!我尼玛,困扰我几天了。
宝塔onemanager-php,宝塔面板6.X-shell脚本,自动切换5秒盾脚本CC攻击
weixin_39608398的博客
03-12 584
大鸟前一篇文章讲了6.X-shell脚本,自动拉黑恶意IPCloudflare防火墙。如果我们的网站遭遇CC和DDoS攻击时,我们可以用这个方法来简单的御。不过,Cloudflare还有一个很经典的功能就是Cloudflare经典的5秒盾攻击,我们可以和上一篇文章结合起来看,当我们自动拉黑恶意IPCloudflare防火墙的时候,可以根据系统的负载状态来实现自动开启5秒盾。但是我们要通过C...
宝塔漏洞复现_宝塔云WAF-一款由宝塔推出的”堡塔云WAF“免费CC防火墙_手把手教攻技巧
最新发布
程序员三九的博客
06-01 333
云WAF防火墙可以有效的拦截来自于网站攻击,如:CC攻击、sql注入、xss、一句话木马、采集等一些常见的渗透攻击,可以有效的止”黑客渗透入侵“,支持漏洞扫描
恶意IP检测API接口,恶意IP威胁情报查询,通过大数据查询IP是否存在威胁或恶意
QQ799629269
06-09 1951
在当前的网络安全环境下,恶意攻击已经成为常态化,各种类型的攻击不断涌现,其中大部分的攻击都是通过IP地址发起的。因此,对IP地址的安全性进行监控和检测,是保障网络安全的重要手段之一。例如,通过使用互联网安全公司提供的恶意IP检测API接口,可以通过简单的编程实现对所需IP地址的检测,从而在短时间内获取协同全网的涉恶IP情报。需要注意的是,恶意IP检测和威胁情报查询只是网络安全护体系的一部分,建议企业在进行恶意IP检测和威胁情报查询的同时,也要综合运用多种网络安全技术和手段,形成全方位的网络安全护体系。
Cloudflare策略&介绍
weixin_63660670的博客
03-23 914
上面的那条防火墙规则,可以屏蔽阿里云、腾讯云和华为云这三家云服务商的IP地址的访问,常言道,同行是冤家,使用阿里云、腾讯云和华为云来抓取你网站的,通常都不是善类,一般情况下都是恶意采集、恶意抓取、CC攻击和DDOS攻击等等,通过ASN屏蔽可以一次屏蔽数百万IP地址,非常高效。挑战解决率 (CSR)可以评估每个防火墙规则的优劣,这个指标的含义是指被解决了发出挑战的百分比,公式为CSR=解决的挑战数量/发出的挑战数量,这个数值越低越好。此外,防火墙的执行顺序就是右侧的序号,拖动序号可修改防火墙规则的执行顺序。
Cloudflare开启域名真人验证止被DDoS攻击
LordForce的博客
10-09 3228
cloudflare开启域名真人验证|cloudflare托管的域名遭受DDoS攻击护配置
Cloudflare 5秒盾自定义页面源代码.zip
06-19
Cloudflare是一家知名的云服务提供商,其5秒盾(5 Second Shield)是一项安全功能,旨在增强网站的御能力,止DDoS攻击和其他恶意流量。自定义页面源代码允许用户在访问受保护的网站时显示个性化的错误或等待页面...
cloudflare-ip-tester:Cloudflare IP批量测试工具,包括HTTP响应时间,区域检测和下载速度测试
04-13
为了更全面地了解不同IP段中的访问质量,开发了此工具来测试Cloudflare提供的一批Anycast IP,并分析每个IP的响应时间和下载速度。 网址: : 功能HTTP响应时间测试(当readyState = 2时) 平均下载速度测试(有效...
【华为云批量导入】国外服务器 + CloudFlare + 自动化平台 让用户访问秒开
05-28
【华为云批量导入】国外服务器 + CloudFlare + 自动化平台 让用户访问秒开
Cloudflare-Blacklist-Whitelist-Bulk:使用 Cloudflare 的 API 批量将 IP 列入黑名单、白名单和取消名单
05-29
Cloudflare 批量黑名单/白名单/取消名单使用 Cloudflare 的 API 批量将 IP 列入黑名单、白名单和取消名单更改文件顶部的参数并使用“php cloudflare-list.php”通过控制台运行或通过网络浏览器运行。
laravel-cloudflare:将 Cloudflare ip 地址添加到 Laravel 的可信代理
08-04
Cloudflare ip 地址添加到 Laravel 的可信代理。 安装 使用 Composer 安装: composer require monicahq/laravel-cloudflare 您不需要将此包添加到您的服务提供商。 在app/Http/Kernel.php中添加middleware ,...
勒索病毒护之RDP远程桌面加固
金数方案分享_zjgkd.cn
09-18 2147
勒索病毒,止暴力破解远程桌面用户密码,勒索控制服务器。
拉黑IP暴力破解
Ray_Huang
08-29 534
查看linux的ssh登录日志: less /var/log/secure(centos) 打开之后里面会有很多条记录了ssh登录的log,这是登录成功的例子: 这是登录失败的例子: 我发现有很多陌生的IP一直在以不同的用户名密码尝试登录我的主机,有些是直接几十条连续的尝试,这摆明了在暴力破解啊,上网找找方法: 找到一个脚本,放...
AST实战|某CloudFlare 5秒盾第一层混淆代码一键还原思路分享
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-01 1929
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!一.实战地址https://www.e-food.gr/加载的混淆js地址,但是是动态的哈:https://www.e-food.gr/cdn-cgi/challenge-platform/h/g/orchestrate/jsch/v1?ray=733......
DDOS攻击
m0_74894688的博客
12-08 304
2014年,阿里云在微博上发布一则声明,称12月20-21日间,部署在阿里云上的某知名游戏公司,遭遇了全球互联网史上最大的一次DDoS攻击  DDoS是一种在互联网地下非常常见的攻击方式,可以称作黑客入门的基础技巧。但要做到像阿里云这次的规模——攻击流量峰值达每秒453.8Gb,仍是一个刷新排行榜的“巨大”数字。   但这起事件,除了阿里云主动传播的声明外,并未有更多讨论,也没有后续进展。这让整个事情看起来很奇怪,沉默的被攻击方,猖獗的攻击者,飞速发展的DDoS产业。雷锋网联络到加速乐产品经理西盟以及一
CloudFlare护下的破绽:寻找真实IP的几条途径
热门推荐
陈建慧程序人生
01-20 1万+
看Twitter发现CloudFlare总裁什么的最近很高调,北京、香港的跑着参加会议、发表演说什么的,CloudFlare似乎也没那么牛逼吧。前段就关注过比较火热的CloudFlare如何抵御住大流量的攻击。政治跟咱没毛线关系,但你说你那么牛,这就有点不太合适了吧。 目前大部分的网站都基于虚拟化部署,说的高大上一点就是云技术和CDN技术。在闲暇之余也关注过这个事情,毕竟是比较先进的技术,以前传
教程:利用Cloudflare网关搭建访问IPFS网站
BlackFirefly的博客
09-29 4111
最近,笔者的微信朋友圈被“Cloudflare网关”刷屏了,到底是怎么回事呢? 原来在9月17日这天,IPFS项目团队Protocol Labs发布了一条推特,为美国互联网安全提供商Cloudflare的一款新产品打call。据悉,该产品可以帮助用户更容易地访问由Protocol Labs开发的去中心化存储协议IPFS(星际文件系统)。 此信息一出,Cloudflare网关迅速成为许多IPFS爱...
java cloudflare
01-31
根据提供的引用内容,以下是关于Java使用Cloudflare的介绍和示例: Cloudflare是一个提供CDN(内容分发网络)和安全性服务的公司。它的API允许开发人员通过编程方式与Cloudflare进行交互,以管理其网站的各种设置和功能。 在Java中使用Cloudflare API,可以使用CloudflareApiLibrary来简化和加快开发过程。该库提供了一些方便的方法和功能,使得与Cloudflare API的交互更加容易。 以下是一个使用CloudflareApiLibrary的示例,用于获取网站的DNS记录: ```java import com.cloudflare.api.CloudflareAccess; import com.cloudflare.api.constants.CloudflareValue; import com.cloudflare.api.requests.dns.DNSRecordCreateRequest; import com.cloudflare.api.requests.dns.DNSRecordGetRequest; import com.cloudflare.api.requests.dns.DNSRecordUpdateRequest;import com.cloudflare.api.results.CloudflareError; import com.cloudflare.api.results.CloudflareResponse; import com.cloudflare.api.results.DNSRecord; import com.cloudflare.api.results.Result; public class CloudflareExample { public static void main(String[] args) { // 设置Cloudflare API的访问密钥和邮箱 CloudflareAccess.getInstance().setAuthKey("YOUR_API_KEY"); CloudflareAccess.getInstance().setAuthEmail("YOUR_EMAIL"); // 获取网站的DNS记录 DNSRecordGetRequest getRequest = new DNSRecordGetRequest("YOUR_DOMAIN"); CloudflareResponse<Result<DNSRecord>> getResponse = getRequest.execute(); if (getResponse.isSuccess()) { Result<DNSRecord> result = getResponse.getResult(); for (DNSRecord record : result.getResult()) { System.out.println(record.getName() + " - " + record.getContent()); } } else { CloudflareError error = getResponse.getError(); System.out.println("Error: " + error.getMessage()); } } } ``` 这个示例演示了如何使用CloudflareApiLibrary来获取网站的DNS记录。首先,需要设置Cloudflare API的访问密钥和邮箱。然后,创建一个DNSRecordGetRequest对象,并指定要获取DNS记录的域名。最后,执行请求并处理响应,打印出每个DNS记录的名称和内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云博客-资源宝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值