【已记录】Nginx防火墙 CC防御
本帖最后由 waterqaq 于 2023-3-11 21:03 编辑关于单URL CC防御
为什么是只有全局的呀?而且只是单URL,不可能每个站点都一样的吧?
建议:
正则匹配,一条正则等于一条规则进行匹配。
单条规则就按现在这样单独设置速率。
正则匹配直接匹配完整的URL,包含 $host $request_uri 。一条正则等于一条规则进行URL匹配进行速率匹配,进行单ip封禁。
比如 规则:^(aaa\.com|bbb\.com)\/aaa\/\w* 速率设置 为 5秒内限制5请求
ip 1.1.1.15秒内 请求的URL 和^(aaa\.com|bbb\.com)\/aaa\/\w*是匹配的 并且超过5次 就进行封禁。
请求类型好像也挺重要。可以后续再改进。上面才是刚需。
((还可以加个单条规则单独设置封锁时间,还不够完美就再加个单条规则单独配置响应内容。)这两个都无所谓,不奢求!)
这样就可以完全自由地配置防CC规则,因为每个网站的每个目录/路径/接口所需的速率限制都不一样。
当前的防CC功能真的很局限。当前的防CC功能真的很局限。当前的防CC功能真的很局限。
感谢您的反馈和支持!已经记录当前的的反馈,会联系开发看下当前的需求! 大炮运维V587 发表于 2023-3-11 20:22
感谢您的反馈和支持!已经记录当前的的反馈,会联系开发看下当前的需求! ...
你们好像基本都只是 记录 反馈 看下。能或不能可以给个准信吗?这个功能应该每一个用户都需要吧。我也看到论坛有人反馈过类似的请求了。 waterqaq 发表于 2023-3-11 20:34
你们好像基本都只是 记录 反馈 看下。能或不能可以给个准信吗?这个功能应该每一个用户都需要吧。我也看 ...
每周都会有修复的,我们记录的信息开发会根据四项工作法进行排挡的
大炮运维V587 发表于 2023-3-11 20:39
每周都会有修复的,我们记录的信息开发会根据四项工作法进行排挡的
我把帖子编辑地更详细了,大佬看一下怎么样。采纳几率大吗? waterqaq 发表于 2023-3-11 21:06
我把帖子编辑地更详细了,大佬看一下怎么样。采纳几率大吗?
这个单URL配置到站点里,这个建议好,采纳几率大 本帖最后由 waterqaq 于 2023-3-11 22:07 编辑
大炮运维V587 发表于 2023-3-11 21:08
这个单URL配置到站点里,这个建议好,采纳几率大
把当前现有的 单URL移到单站点吗?这个发展方向不好吧?这样还是很局限。
如果仅仅把当前现有的 单URLCC防御 移到单站点,那就是说还是不支持正则匹配,一条规则还只是单个地址,根本做不到高效的CC防御。
其实就放在全局,然后正则匹配 $host $request_uri 。就好了。
这样想设置多站点一样也可以,或者 某个目录/路径/接口 或者 什么字符开头或者结尾的或者 字符串范围 都可以匹配进行防御。
正则才是王道。正则才是王道。正则才是王道。
一条正则等于一条规则设置单独的速率限制。这才是WAF该有的样子。 而不是 单URL单地址,正则一样可以写成单URL单地址。
是 一条正则就等于一条规则,不再是单地址单URL。比如^aaa\.com\/\w*速率限制5秒5请求,不是 aaa.com/aa 可以请求5次aaa.com/bb 又可以请求5次 。是周期5秒内只要跟 ^aaa\.com\/\w* 匹配的请求超出速率限制5次就进行封禁了。
本帖最后由 waterqaq 于 2023-3-12 00:39 编辑
大炮运维V587 发表于 2023-3-11 21:08
这个单URL配置到站点里,这个建议好,采纳几率大
把当前现有的 单URL移到单站点吗?这个发展方向不好吧?这样还是很局限。
如果仅仅把当前现有的 单URLCC防御 移到单站点,那就是说还是不支持正则匹配,一条规则还只是单个地址,根本做不到高效的CC防御。
其实就放在全局,然后正则匹配 $host $request_uri 。就好了。
这样想设置多站点一样也可以,或者 某个目录/路径/接口 或者 什么字符开头或者结尾的或者 字符串范围 都可以匹配进行防御。
正则才是王道。正则才是王道。正则才是王道。
一条正则等于一条规则设置单独的速率限制。这才是WAF该有的样子。 而不是 单URL单地址,正则一样可以写成单URL单地址。
是 一条正则就等于一条规则,不再是单地址单URL。比如^aaa\.com\/\w*速率限制5秒5请求,不是 aaa.com/aa 可以请求5次aaa.com/bb 又可以请求5次 。是周期5秒内只要跟 ^aaa\.com\/\w* 匹配的请求超出速率限制5次就进行封禁了。
------------
还有 URL增强模式 URL请求类型拦截API接口防御 这些 在全局也不支持区分 $host 的吗?为什么在全局的 也只是匹配 $request_uri 呢?有多个站点的 $request_uri 是一样的应该怎么办呀?
你觉得呢?
大炮运维V587 发表于 2023-3-11 21:08
这个单URL配置到站点里,这个建议好,采纳几率大
把当前现有的 单URL移到单站点吗?这个发展方向不好吧?这样还是很局限。
如果仅仅把当前现有的 单URLCC防御 移到单站点,那就是说还是不支持正则匹配,一条规则还只是单个地址,根本做不到高效的CC防御。
其实就放在全局,然后正则匹配 $host $request_uri 。就好了。
这样想设置多站点一样也可以,或者 某个目录/路径/接口 或者 什么字符开头或者结尾的或者 字符串范围 都可以匹配进行防御。
正则才是王道。正则才是王道。正则才是王道。
一条正则等于一条规则设置单独的速率限制。这才是WAF该有的样子。 而不是 单URL单地址,正则一样可以写成单URL单地址。
是 一条正则就等于一条规则,不再是单地址单URL。比如^aaa\.com\/\w*速率限制5秒5请求,不是 aaa.com/aa 可以请求5次aaa.com/bb 又可以请求5次 。是周期5秒内只要跟 ^aaa\.com\/\w* 匹配的请求超出速率限制5次就进行封禁了。
还有 URL增强模式 URL请求类型拦截API接口防御 这些 在全局也不支持区分 $host 的吗?为什么在全局的 也只是匹配 $request_uri 呢?有多个站点的 $request_uri 是一样的应该怎么办呀?
你觉得呢? 大炮运维V587 发表于 2023-3-11 21:08
这个单URL配置到站点里,这个建议好,采纳几率大
把当前现有的 单URL移到单站点吗?这个发展方向不好吧?这样还是很局限。
如果仅仅把当前现有的 单URLCC防御 移到单站点,那就是说还是不支持正则匹配,一条规则还只是单个地址,根本做不到高效的CC防御。
其实就放在全局,然后正则匹配 $host $request_uri 。就好了。
这样想设置多站点一样也可以,或者 某个目录/路径/接口 或者 什么字符开头或者结尾的或者 字符串范围 都可以匹配进行防御。
正则才是王道。正则才是王道。正则才是王道。
一条正则等于一条规则设置单独的速率限制。这才是WAF该有的样子。 而不是 单URL单地址,正则一样可以写成单URL单地址。
是 一条正则就等于一条规则,不再是单地址单URL。比如^aaa\.com\/\w*速率限制5秒5请求,不是 aaa.com/aa 可以请求5次aaa.com/bb 又可以请求5次 。是周期5秒内只要跟 ^aaa\.com\/\w* 匹配的请求超出速率限制5次就进行封禁了。
还有 URL增强模式 URL请求类型拦截API接口防御 这些 在全局也不支持区分 $host 的吗?为什么在全局的 也只是匹配 $request_uri 呢?有多个站点的 $request_uri 是一样的应该怎么办呀? 感谢您的宝贵建议,这里会将具体的建议信息反馈给开发人员的。具体走向看后续开发那边评估 谢花郎 发表于 2023-3-13 20:42
感谢您的宝贵建议,这里会将具体的建议信息反馈给开发人员的。具体走向看后续开发那边评估 ...
什么时候会有结果呢? 谢花郎 发表于 2023-3-13 20:42
感谢您的宝贵建议,这里会将具体的建议信息反馈给开发人员的。具体走向看后续开发那边评估 ...
有些我用不到的功能,我就没注意看。现在的nginx防火墙很多功能都只能匹配单个$request_uri,不能使用正则,而且不匹配$host,现在基本就只能用那个全局标准CC防御,设大了就得靠硬件支撑,设置小了又误杀。那个CC增强模式的自动开启人机校验希望可以开启滑动验证等等验证方式。 感谢您的反馈
页:
[1]