周末,无意间看到有个服务器被巴西的所有网段轮着连,不断的连,大概就是传说中的cc吧。
刚好借这个机会把自动防御系统做了个小升级。
之前的做法呢,数据来源基于日志,包括但不限于web、ftp、数据库等等。虽然早已超越所谓的“waf”范畴,但终究有些被动,遇到大范围的高强度连接消耗型攻击会很无力。
而本次更新,则从网络层入手,(比较)彻底的解决cc类型攻击。但完全解决需要下一次更新,暂且不提未来思路。
成员节点增加了一个命令接口,可以反馈本机的网络连接情况给中央处理器,然后由中央节点进行归纳,判断哪些IP、网段正在进行恶意连接,然后根据情况决定是封IP还是封IP段。当然,封锁与入库这些本身是由成员节点自动完成的,这是很久以前就做好的。
为了避免误判,可以自动跳过自有服务器IP,以及常规的google、baidu、bing、cloudflare等公布出来的IP段,当然也可以自己手工附加一些。这方面我做的还是很灵活的,不论是单个IP,还是cidr之类的网段形式,也不论是v4还是v6,都可以灵活匹配。为自己喝彩,哈哈。
若无意外,下次更新会解决低速型的CC攻击,方法当然不能说了,至少目前不能说。
最近我自己的事业进入最重要的时间段了,少年时的理想已实现:“让计算机为我自动赚钱”,不过目前只是很初级的阶段,赚钱效率还很低,可能需要很长时间去调整优化。
所以咯,下次防御系统更新亦或其他方面的更新,那可能在很久以后了。
啰嗦几句,有位小友总拿一些玩具一样的waf来刺激我,说人家已经做出来了。。。
本系统的着眼点是信息安全,包括但不限于操作系统与应用层面、网络层等等,本身就没把所谓的“waf”当目标或者当成参照物。而且仅仅是自用,至少目前是,以后没没什么打算公布、开源或者商业运作。即便是第一个版本,也远超waf了,真不是一个层面的事物。。。
本系统的目标是抵御流量型攻击之外的一切入侵、攻击。
硬要说的话,和我们大概20年前做的ids+防火墙联动的ips系统更接近。
我这不是抛砖引玉,在这个领域我也不是外行和新手。大概也没什么思路和做法能在我面前称为玉了。
呵呵
=====================
后续
把成员节点新增加的代码段给删了,因为原先版本其实就预留了可随意扩展的接口,直接调用就行,挺长时间没用,我自己都给忘了。。。