过滤境外ip和域名访问的解决方案

早上好,好久没更新文章了,今天给大家更新一个过滤境外ip和域名的解决方案

昨天翻生产环境日志,发现一些非业务请求,过滤境外ip和域名访问的做了哪些工作,给大家做个简单分享。

查了一下请求ip:

德国的:

保加利亚的:

坏了,被扫描了。

仔细看了一下他的请求方式: PROPFIND,这种通常是自动扫描器在探测 WebDAV 漏洞或共享目录

因为目前我们的业务没有涉及到境外,所以就做了一下操作过滤了境外IP和域名请求,此次只做技术分享,不代表任何地区观点!

从2方面入手:

1、封禁境外域名访问:

已在阿里云做了以下配置:

凡是境外访问的一律到127.0.0.1

访问效果如下:

可以用这个工具进行测试:https://boce.aliyun.com/detect/dns

发现境外访问已经全部解析到了127.0.0.1

备注:

阿里云:您使用的免费版DNS,无海外解析节点,海外访问域名DNS解析速度慢、失败率高。

建议您升级到付费版DNS,付费版DNS全球集群覆盖东南亚、欧美、中东等地域,能加速您的海外解析速度。

2、封禁境外ip+端口访问:

首先肯定想到的是设置阿里云入站规则,但是入站规则需要配置所有的ip号段,需要的话可以从这个地方获取(https://lite.ip2location.com/china-ip-address-ranges)

阿里云不提供一键式服务。但是可以购买阿里云的云防火墙可以直接阻拦,一年费用大概3800,还是比较贵的。

那就从nginx层面进行控制。

先设置不是域名访问的直接给过滤掉,就是ip+端口的方式:

配置如下:

复制代码
# 拦截 443 端口的直接 IP 访问或非授权域名
server {
    listen 443 ssl default_server;
    server_name _;

    # 必须有一组有效的证书,否则 Nginx 会报错
    ssl_certificate      /DATA/freeware/nginx/nginx/cert/xxx/xxx.pem;
    ssl_certificate_key  /DATA/freeware/nginx/nginx/cert/xxx/xxx.key;

    # 【核心修改 1】497 错误是 Nginx 内部定义的:当 HTTP 请求发送到 HTTPS 端口时触发
    # 我们强制把这个错误重定向,并返回 444(直接丢弃连接)
    error_page 497 =444 /;

    # 【核心修改 2】针对常规请求也返回 444
    location / {
        return 444;
    }
}

然后再把nginx版本号给隐藏了,以防nginx特定版本有bug,增加攻击机会。

复制代码
http {
server_tokens off; # 隐藏版本号
}

最后一步把其他请求方式给过滤掉。

复制代码
# 只拦截绝对非法的 WebDAV 方法
        if ($request_method ~* (PROPFIND|SEARCH|MKCOL|COPY|MOVE|LOCK|UNLOCK) ) {
            return 444;
        }

大功告成,最后的效果是ip+端口访问不进去,域名境外访问不进去,特殊请求方式请求给过滤。

好了今天就给大家分享一个过滤境外ip和域名访问的解决方案。

最后给大家提示一句,一定要把服务器的端口给设置白名单,尽量的不过多的把端口给暴露出去,避免受到经济损失。

祝各位,永远不会遇到此类事件!

相关推荐
春卷同学5 分钟前
HarmonyOS掌上记账APP开发实践第25篇:Image 组件高级用法 — 资源引用、网络图片与首字符占位方案
网络·华为·harmonyos
mounter6256 分钟前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel
chenyulin45452 小时前
企业微信API二次开发:万级并发回调下的极致幂等性设计与防重放架构实战
大数据·人工智能·安全·架构·企业微信
Bug退散师2 小时前
多路IO复用[select版TCP服务器与poll版TCP服务器]与常用网络编程函数详解
linux·服务器·c语言·网络·驱动开发·tcp/ip
Acrellea3 小时前
固态变压器(SST)热管理破局:安科瑞交直流专属测温方案护航无人值守运维
运维·网络
CypressTel4 小时前
JADEPUFFER暴露企业安全防御新挑战——赛柏特安全观察
安全
振浩微433射频芯片4 小时前
5个IO控制20个LED?查理复用实战拆解
网络·单片机·物联网·学习·智能家居
rcms152702692184 小时前
IS200TREAH2A 终端板
网络
小邓的技术笔记4 小时前
解析 gin 接收到 http 请求是怎么处理的
网络协议·http·gin