首先,非盈利的小站点受到的攻击,一般都很LOW,因为攻击成本大于被攻击者的损失
常常都是垃圾代理池+垃圾脚本,IP,攻击模式,都比较有限
目录
实战分析
默认规则已经拦截大部分攻击
接下来查看统计信息
很明显,攻击对象主要是1大2小共3个页面
然后,排除一下已拦截的请求
可以看到规则缺失的部分
然后观察攻击模式
可以很明显看出,攻击脚本连个随机路径/参数都没,IP也不多
然后根据ASN排名,从多到少依次拉黑即可
为什么要拉黑ASN
常用于网络攻击的IP,一般都是公告的S5/http代理池,这些IP归属者,
要么本身就是个垃圾,狗都不用(比如某些完全没见过的乐色)
要么就是成本很低,适合攻击,不值钱,爱封不封(比如某些垃圾欧洲鸡)
要么就是本身就很贱,不管攻击,公共代理,对外扫描等操作(比如某些垃圾毛子鸡)
要么就是入手方法有问题,可以低成本撸(比如AZ,AWS)
要么就是机器防御不足,容易被利用/攻破/抓取(比如搬瓦工,DMIT,HKT)
当然,拉黑并不代表“阻止”,选择“js质询”和“质询”更加人性化,一般来说JS质询即可
为什么选择拉黑ASN而不是IP
IP比较多,可能对方也比较经常换,如果不用脚本肯定累,当然其实是有对应脚本的,
但是IP拉黑前还是会直接受到攻击,而直接拉黑ASN是一种高效,范围广的打击方法
为什么选择拉黑ASN而不是国家/地区
国家地区自然是要拉黑的,个人推荐白名单模式,常见的地区就那几个,剩下都不是什么好鸟
为什么部分家宽ASN也被拉黑
谁让这些傻逼HKT,HGC对外攻击的出场次数这么多呢
为什么部分常见代理IP也被拉黑
比如AZ,AWS等,常用于代理落地,同样,你代理落地成本低,人家拿来攻击成本也低
ScannerReport项目
https://github.com/BlueSkyXN/ScannerReport
可以查看被我列入清单的垃圾ASN名单和快速导入表达式
Comments NOTHING