Alanku 大佬有话说 :
关于VPS安全防护的讨论
买个vps做个站,最担心的莫过于网站受到攻击或骚扰了,最常见的是ddcc,这个还算好,买个高防服务器差不多解决问题。今天主要想讨论一下比较少见的骚扰类型,主要是爬虫骚扰,骚扰不同于攻击,来得快去得也快,骚扰来势不猛,作用缓慢,但持续时间长,伪装度高,那我们应该如何做好vps骚扰防护呢?
爬虫骚扰可以简单分为两类:
1、非恶意类。
比较常见的就是网站采集,就是被别人爬取你网站上的资源,它的本意并非要破坏你的网站,但是采集的人数一多,或者对方不加节制地开了多线程,那自己的服务器负载肯定就变大,网站资源被占用,反应速度就变慢,就影响到你网站用户的体验了。此外,还可能是自己网站链接被众多mjj当做了爬虫程序调试链接,
2、恶意类。
就是商家和用户发生了纠纷,或者其他纠纷,导致网站被恶意骚扰,比如利用免费vps,免费云函数,免费容器,免费app等等羊毛作为工具,在目标网站批量注册,留言,发送工单等等。
我初步想到的应对方法及破解方法如下:
1、添加referal,ua验证,拒绝爬虫请求。
解决方法很简单,我加上自定义referal和ua就是了。
2、封禁频繁请求的ip
解决方法是用动态ip,或者代理池。
3、添加hcaptacha验证
解决方法,设置hcaptacha无障碍cookie,cookie有效期30天。
4、加入cf 5秒盾
不知道咋解决,cookie应该也没用,不过和hcaptacha验证一样,开启了会影响用户体验,骚扰者一样达到了他骚扰的目的
5、开启google的recaptacha验证
不知道咋解决,也不影响用户体验,但似乎开启这个要花钱,不是很清楚。
目前就想到了这么多,欢迎大家评论区讨论补充,自己的站点都受到哪些奇葩骚扰或攻击,最终是如何解决的。
h20 大佬有话说 :
最好的防护就是关机
heihai 大佬有话说 :
直接拔电源,物理防护
bitanfan5 大佬有话说 :
我觉得要加上ssh的防护
不要弱密码
考虑修改端口
最好用密钥
jdunion 大佬有话说 :
借助 Cloudflare 阻止黑客攻击:在 上个月10天 期间阻止或质询的恶意请求数为 253
上个月独立访问者总计:8,807