网站被间歇性扫描,IP不断更换,我的应对方法

文章目录

背景

我负责的一个网站,不出名,平时也没多少流量。1天有几百个就不错了。没想到,这么不起眼的网站也有被人盯上的时候。

一天,后台使用人员告诉我网站打开很慢,慢到不能忍。

我就查询日志,看看出什么问题了,不查不知道,一查吓一跳。当天的日志已经记录了好几个文件,正常情况下不可能,网站根本没那么大的访问量。然后打开日志一看,全是某个ip的访问记录。这个ip在不断的更换网址或者参数,很明显在扫描网站。

应对方式

封ip

立马封禁这个ip。直接在防火墙里屏蔽这个ip,服务器软件也封禁这个ip。效果是立竿见影,马上日志文件就不再膨胀了。访问量也正常了。

本以为对方会消停点,没想到过了大约1个小时。网站又很慢了,我查看日志,发现换了个ip又在扫描。把这个ip又封禁了。

自动不响应策略

只封禁ip不行,他还会换ip。对方也似乎知道我发现他了,扫描没那么频繁了,但是还是在换ip扫描,间歇性的扫描,一秒钟三四次,隔一段时间扫描一次;他在模拟正常的访问。我得想个应对策略。

查看日志,日志里只要访问不存在的url路径就会有错误记录。想到了一个应对策略。用redis记录,只要某个ip访问错误url路径,就把这个ip作为键,值是次数。这样就记录这个ip访问错误的次数。在入口文件里查询当前访问的ip是否有记录,如果次数超过某个值,就直接退出响应。

代码

错误处添加的代码

php 复制代码
//获取ip
$ip=get_user_ip();
//以ip为键
$inc_key='ip_'.$ip;
$redis = new \Redis();
$redis->connect('127.0.0.1', 7280);
$redis->auth('xxxxxxxxxx');
//记录这个ip访问次数
$redis->incr($inc_key);
$redis->close();

入口文件里添加代码

php 复制代码
//获取当前ip
$user_ip=get_user_ip();
//以ip为键
$inc_key='ip_'.$user_ip;
$redis = new \Redis();
$redis->connect('127.0.0.1', 7280);
$redis->auth('xxxxxxxxxx');
//获取这个ip访问次数
$ip_num=$redis->get($inc_key);
//如果能取得值,说明曾经访问过错误路径
if($ip_num!==false){
	//如果访问错误次数大于100,增加这个ip的次数,退出响应。增次数能知道这个ip有多少次错误访问
    if ($ip_num>100){
        $redis->incr($inc_key);  
        $redis->close();  
        die;
    }
}
// 关闭Redis连接
$redis->close();

为啥不上其他防护软件呢?

我倒是很想上,加上各种安全防护系统。关键在于花钱,公司不舍得。咱就是个打工的,出问题了就是打工人没做好,要是花钱,老板觉得还养着技术干嘛。

相关推荐
枷锁—sha1 小时前
【DVWA系列】——CSRF——Medium详细教程
android·服务器·前端·web安全·网络安全·csrf
枷锁—sha1 小时前
跨站请求伪造漏洞(CSRF)详解
运维·服务器·前端·web安全·网络安全·csrf
笑衬人心。2 小时前
TCP 拥塞控制算法 —— 慢启动(Slow Start)笔记
笔记·tcp/ip·php
2301_780789666 小时前
UDP和TCP的主要区别是什么
服务器·网络协议·web安全·网络安全·udp
一只栖枝8 小时前
HCIA-Security 认证精讲!网络安全理论与实战全掌握
网络·web安全·网络安全·智能路由器·hcia·it·hcia-security
晨欣11 小时前
大型语言模型(LLM)在网络安全中最具商业价值的应用场景(Grok3 回答 DeepSearch模式)
网络·web安全·语言模型
上海云盾-高防顾问15 小时前
电商行业如何做好网络安全工作?
网络·安全·web安全
iblade15 小时前
网络:TCP序列号和滑动窗口,顺序保证
网络·tcp/ip·php
鼓掌MVP15 小时前
网络安全威胁下的企业困境与破局技术实践
网络·安全·web安全
工控小楠17 小时前
CCLink IE转ModbusTCP网关配置无纸记录器(中篇)
服务器·网络·php