Gin+Fail2ban+Cloudfare实现防爆破等

最新推荐文章于 2024-04-13 00:12:31 发布
最新推荐文章于 2024-04-13 00:12:31 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: 安全 文章标签: nginx golang 运维 fail2ban cloudfare
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51485807/article/details/123128044
版权

前言:

最近受某学长刺激,授权爆破他的网站,短时间内就被他的网站防住了~

好滴~ 最近又开始捣鼓服务器了,我也想搞~ 所以我就简单说一下我的实现。

以下我简单说下我的思路来实现防爆破与CC等攻击:👇

  1. 通过Cloudfare获取到原始IP
  2. Fail2ban读取日志
  3. 回调通知Cloudfare进行防御

要用到的有:Gin框架nginx服务器cloudfare免费版Fail2ban工具

获取到原始IP

其实有个思路是已经有模块与nginx进行二进制编译后

access日志就已经是原始IP了,但是刚好我是后端接口怼的CF

那么我为什么不写个中间件然后模拟Nginx日志结构,同样实现日志。

说干就干,下面直接贴代码: (实现了高并发下的读写

package middleware

import (
	"GoBackEnd/common" // 这里自己改下
	"fmt"
	"github.com/gin-gonic/gin"
	"io"
	"io/ioutil"
	"os"
	"sync"
	"time"
)

// NginxLogMiddleware 为记录CF原始IP
func NginxLogMiddleware() gin.HandlerFunc {
	return func(c *gin.Context) {
		var bodySize int
		// todo 拿到目录路径
		nginxPath := common.Path("access.log") // 自己写个函数获取哈~
		// todo 拿到将要合成的信息
		ip := c.ClientIP()
		utcTimeStr := time.Now().Format("02/Jan/2006:15:04:05")
		url := c.Request.URL
		method := c.Request.Method
		status := c.Writer.Status()
		body, err := ioutil.ReadAll(c.Request.Body)
		http := c.Request.Proto
		if err != nil {
			bodySize = -1
		}
		bodySize = len(body)
		header := c.Request.UserAgent()
		// todo 写入标准格式
		res := fmt.Sprintf("%v - - [%v +8000] \"%v %v %v\" %v %v \"-\" \"%v\"", ip, utcTimeStr, method, url, http, status, bodySize, header) // 因为是东八区我就写死了
		// todo 写入文件
		file, _ := os.OpenFile(nginxPath, os.O_WRONLY|os.O_APPEND, 0666)
		defer file.Close()
		wr := &SyncWriter{sync.Mutex{}, file} // 添加上锁
		wg := sync.WaitGroup{}
		wg.Add(1)
		go func(content string) { // fork子协程去写
			fmt.Fprintln(wr, content)
			wg.Done()
		}(res)
		wg.Wait()
		c.Next()
	}
}

type SyncWriter struct {
	m      sync.Mutex
	Writer io.Writer
}

func (w *SyncWriter) Write(b []byte) (n int, err error) {
	w.m.Lock()
	defer w.m.Unlock()
	return w.Writer.Write(b)
}
image-20220225101411647

然后直接放到默认路由里面,所有流量都要走~

image-20220225101614873 image-20220225101648740

Fail2ban的安装与设置

$ sudo apt install fail2ban
$ systemctl stop fail2ban
$ cd /etc/fail2ban

这里说下Fail2ban的加载文件规则:依次进行

  • /etc/fail2ban/jail.conf
  • /etc/fail2ban/jail.d/*.conf
  • /etc/fail2ban/jail.local
  • /etc/fail2ban/jail.d/*.local

我们需要做的就是: 分别写入匹配规则与拉黑设置

$ cd /etc/fail2ban/jail.d
$ vim nginxcc.conf # 开始写入
##############################
[nginxcc]                                                                                                             
enabled = true                                                                                                        
port = http,https  # 禁止80 443                                                                                                   
filter = nginxcc      # 使用的是哪个                                                                                                
logpath = /home/ubuntu/HengY1Service/access.log # 框架里面配置的日志                                                       
bantime = 1200    # 被禁止多久                                                                                   
findtime = 30     # 扫描多长时间的                                                                                   
maxretry = 10     # 单位时间内次数                                                                                      
action = %(action_mwl)s   # 调用cloudfare内置脚本                                                                                      
         custom-cloudflare   # custom-cloudflare是后面要自己写的
         
:wq
##############################
$ cd /etc/fail2ban/filter.d
$ vim nginxcc.conf
##############################
[Definition]
failregex =(?i)^<HOST> .* "(GET|POST|HEAD).*HTTP.*" (404|503) .*$
ignoreregex =.*(robots.txt|favicon.ico|jpg|png|webp|js|css)

:wq
##############################

然后验证下自己写对没:access.log最好有点东西

$ fail2ban-regex /home/ubuntu/HengY1Service/access.log /etc/fail2ban/filter.d/nginxcc.conf
$ systemctl restart fail2ban
$ fail2ban-client status # 看下nginxCC开启没
$ fail2ban-client status nginxcc
$ fail2ban-client set nginxcc unbanip 1.1.1.1 # 解封你要的IP
image-20220225102817422

通知Cloudfare进行防御

到这里的话还是不行的,因为你虽然拿到了源IP,但是是过CDN过来的IP你没有封

但是Fail2ban已经考虑到了,提供了脚本。这就是为什么要设置action

$ cd /etc/fail2ban/action.d
$ cp cloudflare.conf custom-cloudflare.conf
$ vim custom-cloudflare.conf # 翻看到最下面
# 填写 cftoken 与 cfuser cfuser就是你注册的邮件 cftoken 是GlobalToken
$ systemctl restart fail2ban
image-20220225103713641

然后可以自己试试效果了~ (我的是:api.hengy1.top) 可以来试试效果

image-20220225103819706 image-20220225104523559

总结:

逼逼两句:

  1. 构造日志参数与高并发读写要注意
  2. 正则匹配必须有<HOST>,正则测试https://regex101.com/
  3. 一定要CF来防御,思路得先串通
  4. Fail2ban有点反应延迟
望向天空的恒毅
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cloudflare免费证书_用cloudflare这套护策略,ddos及Cc攻击都很好
weixin_39890633的博客
12-03 1131
分享点护经验,这几天又涨了技能了,不过,多亏一位网友的帮助。cloudflare这个Cdn护真的是太强了,完全免费,胜过很多的主机服务商,说是全球数一数二的cdn商家一点儿也不夸张。最近我遇到的攻击,是我做网站十多年来遇到的最大的一次。从统计数据来看,ddos峰值达到了480G,cc攻击的时候并发量达到了280万,带宽消耗超过200M,预计对方手里控制了30-40万的肉鸡。早上的时候...
cloudflare免费设置_免费的智能DNS--CloudFlare
weixin_36274103的博客
01-09 5436
概述注册CloudFlare设置FreeNomCloudFlare DNS 设置概述有人问我, Freenom的免费域名是挺香的,但是那个破服务器太慢, DNS生效时间和可设置的DNS都很少不方便.怎么办?CloudFlare是全球最大的云平台了, 如下图的测评, CloudFlare的DNS是世界最快的DNS服务. 它还提供很多安全范措施,止DDOS攻击, 止DNS污染等等, 这些高级功能...
fail2ban-cloudflare:将fail2banCloudflare API集成
05-08
fail2ban-cloudflare-适用于Cloudflare API V4 将Fail2banCloudflare API(V4)集成在一起,以使用Nginx和Roboo减轻HTTP泛洪攻击。 要求: Nginx的 Roboo( ) Fail2ban 一个Cloudflare帐户( ) Ruby 1.9.3或更高版本 获取您的Cloudflare API密钥 注册Cloudflare: : 转到然后选择View API Key 。 设置您的站点以使用Cloudflare 配置Fail2ban 安装Fail2ban运行Nginx的和Roboo在服务器上。 将nginx-roboo.conf文件添加到filter.d目录中。 将cloudflare.conf文件添加到您的action.d目录中。 编辑cloudflare_api_manager.rb文件
Cloudflare自动检测恶意IP拉黑到火墙和自动切换5秒盾CC攻击
云博客_资源宝分享
03-09 1820
Cloudflare自动拉黑恶意IP火墙和自动切换5秒盾脚本CC攻击
使用nginx止机器攻击策略_nginx 过滤shiro
最新发布
2401_84264583的博客
04-13 669
可以使用nginx对request进行控制if(request进行控制if (request进行控制if(request ~ “GET /sms/sendVerifyCode.do?”)user nginx; worker_processes 1;error_log /var/logs/nginx/error.log;pid /var/run/nginx.pid;events { worker_connections 1024; }http { include mime.types;
fail2ban 安装与设置
06-09
1. 安装fail2ban为服务 2. 设置fail2ban服务 3. 查看启动fail2ban后的火墙 4. 查看fail2ban日志
不再担忧Cloudflare的5秒盾WAF,CC护限制:穿云API助您轻松应对
2301_78495464的博客
06-13 490
通过四个方面的阐述,包括WAF绕过、CC攻击应对、IP代理和智能识别,读者将了解到如何利用穿云API轻松应对Cloudflare的限制,顺利完成爬虫和自动化任务。穿云API为开发者提供了丰富的工具和功能,帮助他们轻松应对Cloudflare的限制,确保爬虫和自动化任务的顺利进行。在这一部分,我们将讨论穿云API提供的IP代理功能,帮助开发者绕过IP限制。WAF绕过、CC攻击应对、IP代理和智能识别是穿云API提供的关键功能,帮助开发者轻松应对Cloudflare的限制,确保正常的爬虫和自动化任务的进行。
免费的Cloudflared实现外网访问群晖(续)
热门推荐
wbsu2004的博客
05-17 1万+
Cloudflared 是 Cloudflare Tunnel 的客户端(以前的 Argo Tunnel)。
fail2ban 止暴力破解密码
Ccccxc的博客
05-31 983
由于服务器被暴力攻击破解,并被植入了Xmrig挖矿程序,因此安装部署 fail2ban 服务用于抵御暴力工具,并封禁攻击IP。本文简要介绍了在 unRAID 服务器中如何安装配置 fail2ban 服务,并简单测试和展示封禁效果
golang实现简单的cc攻击
weixin_44303986的博客
03-25 706
package main import ( "net/http" "sync" ) var wg sync.WaitGroup func cc(url string) { for true { http.Get(url) } } func main() { wg.Add(4) for i := 0; i < 10000; i++ { go cc("https://www.baidu.com/") } wg.Wait() }
fail2ban暴力破解
weixin_44666439的博客
10-12 793
Fail2ban配置ssh暴力破解 Fail2ban能够监控系统日志,匹配日志中的错误信息(使用正则表达式),执行相应的屏蔽动作(支持多种,一般为调用 iptables ),是一款很实用、强大的软件。 如:攻击者不断尝试穷举SSH、SMTP 、FTP 密码等,只要达到预设值,fail2ban 就会调用火墙屏蔽此 IP ,并且可以发送邮件通知系统管理员。 功能、特性: 1、支持大量服务:sshd 、apache 、qmail 等 2、支持多作动作:iptables 、tcp-wrapper 、shorew
cloudflared-docker:简单的Alpine构建的针对Cloudflared的临时运行时Dockerfile,支持多种架构
04-10
Erisa的Coudflared Docker映像 该存储库包含一个简单的Dockerfile,用于从构建cloudflared (Cloudflare的的客户端)。 目的是支持多种体系结构。 公众形象目前支持: Docker目标 也称为 笔记 linux/amd64 x86_64 大多数现代PC和服务器。 linux/386 x86 32位Intel / AMD CPU。 通常是真正的旧计算机硬件。 这些图像未经测试。 linux/arm64 aarch64 64位ARM硬件。 例如,运行64位操作系统的Ap​​ple Silicon或Raspberry Pi 2/3/4。 linux/arm/v7 armhf 32位ARM硬件。 例如,大多数运行Raspberry Pi OS的Raspberry Pi型号。 linux/arm/v6 armel 较旧的3
Gin+Vue+微服务打造秒杀商城-Go课程
06-28
分享课程——Gin+Vue+微服务打造秒杀商城-Go,完整版视频教程下载,附课件、代码。 本课从Gin基础讲起,涉及模板渲染、中间件、数据绑定及验证、gorm等模块,实战部分更是直接上当今流行、具含金量的微服务+高并发...
golang实战使用gin+xorm搭建go语言web框架详解.rar
05-23
golang实战使用gin+xorm搭建go语言web框架详解.rar
gin-web:由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发
04-30
Gin Web由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发特性RESTful API 设计规范Gin 一款高效的golang web框架MySQL 数据库存储Jwt 用户认证, 登入登出一键...
基于Go + Gin + Gorm + Vue开发的小清单.zip
05-16
基于Go + Gin + Gorm + Vue开发的小清单 基于Go + Gin + Gorm + Vue开发的小清单 基于Go + Gin + Gorm + Vue开发的小清单 基于Go + Gin + Gorm + Vue开发的小清单 ...
gin+websocket+mongodb实现 IM 即时聊天系统,基于WS连接的即时聊天
08-03
gin+websocket+mongodb实现 IM 即时聊天系统,基于WS连接的即时聊天
利用cloudflarecc攻击
magicblack老王的博客
12-21 2239
经过大量研究和自己被cc攻击的经验,这帮人手里大部分ip都是国外的,而你的网站针对的是国内人群,所以只需要屏蔽国外ip就可以达到很好的拦截cc攻击效果。 1,首先你得有http://cloudflare.com的账户,添加域名,按提示把域名dns服务器修改。 2,点击顶部菜单 【火墙】,选择进入 创建火墙规则 3,填写相关内容,名称随意 按照国家来筛选拦截即可。 这里演示除了 中国大陆,香港,台湾意外 全部 进入JS质询(或阻止)。表达式是 (ip.geoip.country
fail2ban在firewalld下不工作(配合cloudflare
AlistairEd的博客
05-06 1384
目录背景配置fail2ban使用firewalldCloudflare下不生效查看Cloudflare已banIP参考 背景 使用fail2ban后,firewalld没有生成相应的规则,即使能识别攻击IP也不能真正ban掉IP。或者在/var/log/fail2ban.log中能看到already banned,但此IP依然能访问网站。 配置fail2ban使用firewalld 首先,在默认使用firewalld的系统中,需要先修改配置,使fail2ban能使用firewalld。 1、推荐使用jail
golang+gin+websocket客户端和服务端
08-09
Golang中的Gin框架提供了一种简单而强大的方法来构建Web应用程序。与此同时,Golang标准库中的"net/http"包提供了构建WebSocket服务器和客户端的功能。 首先,我们来看一下如何使用Gin和WebSocket构建WebSocket服务器。首先,需要导入相关的包: ```go import ( "github.com/gin-gonic/gin" "github.com/gorilla/websocket" ) ``` 接下来,在Gin中创建一个WebSocket处理函数: ```go func WebSocketHandler(c *gin.Context) { upgrader := websocket.Upgrader{ ReadBufferSize: 1024, WriteBufferSize: 1024, } conn, err := upgrader.Upgrade(c.Writer, c.Request, nil) if err != nil { c.JSON(http.StatusBadRequest, gin.H{"error": err.Error()}) return } for { messageType, message, err := conn.ReadMessage() if err != nil { c.JSON(http.StatusBadRequest, gin.H{"error": err.Error()}) return } err = conn.WriteMessage(messageType, message) if err != nil { c.JSON(http.StatusBadRequest, gin.H{"error": err.Error()}) return } } } ``` 上面的代码创建了一个基本的WebSocket处理函数。它使用WebSocket标准库中的Upgrader结构来处理升级连接并创建一个WebSocket连接。 然后,我们需要在Gin中设置路由来处理WebSocket请求: ```go router := gin.Default() router.GET("/ws", WebSocketHandler) ``` 以上代码将在根路径下创建一个WebSocket处理函数。 接下来,我们来看一下如何使用GolangGin构建WebSocket客户端。首先,我们需要导入所需的包: ```go import ( "github.com/gorilla/websocket" "net/http" ) ``` 然后,我们可以使用以下代码来创建一个WebSocket客户端: ```go func main() { c, _, err := websocket.DefaultDialer.Dial("ws://localhost:8080/ws", nil) if err != nil { log.Fatal("dial:", err) } defer c.Close() done := make(chan struct{}) go func() { defer close(done) for { _, message, err := c.ReadMessage() if err != nil { log.Println("read:", err) return } log.Printf("recv: %s", message) } }() ticker := time.NewTicker(time.Second) defer ticker.Stop() for { select { case <-done: return case <-ticker.C: err := c.WriteMessage(websocket.TextMessage, []byte("Hello, Server!")) if err != nil { log.Println("write:", err) return } } } } ``` 上面的代码创建了一个WebSocket客户端,它使用WebSocket标准库中的`DefaultDialer`结构来建立WebSocket连接。 以上就是使用Golang Gin和WebSocket构建WebSocket客户端和服务器的简单示例。这些代码可以帮助我们使用GinGolang的标准库来构建强大的Web应用程序,并处理WebSocket通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值