首先,非盈利的小站点受到的攻击,一般都很LOW,因为攻击成本大于被攻击者的损失

常常都是垃圾代理池+垃圾脚本,IP,攻击模式,都比较有限

实战分析

默认规则已经拦截大部分攻击

接下来查看统计信息

 

很明显,攻击对象主要是1大2小共3个页面

然后,排除一下已拦截的请求

可以看到规则缺失的部分

然后观察攻击模式

可以很明显看出,攻击脚本连个随机路径/参数都没,IP也不多

然后根据ASN排名,从多到少依次拉黑即可

为什么要拉黑ASN

常用于网络攻击的IP,一般都是公告的S5/http代理池,这些IP归属者,

要么本身就是个垃圾,狗都不用(比如某些完全没见过的乐色)

要么就是成本很低,适合攻击,不值钱,爱封不封(比如某些垃圾欧洲鸡)

要么就是本身就很贱,不管攻击,公共代理,对外扫描等操作(比如某些垃圾毛子鸡)

要么就是入手方法有问题,可以低成本撸(比如AZ,AWS)

要么就是机器防御不足,容易被利用/攻破/抓取(比如搬瓦工,DMIT,HKT)

当然,拉黑并不代表“阻止”,选择“js质询”和“质询”更加人性化,一般来说JS质询即可

为什么选择拉黑ASN而不是IP

IP比较多,可能对方也比较经常换,如果不用脚本肯定累,当然其实是有对应脚本的,

但是IP拉黑前还是会直接受到攻击,而直接拉黑ASN是一种高效,范围广的打击方法

为什么选择拉黑ASN而不是国家/地区

国家地区自然是要拉黑的,个人推荐白名单模式,常见的地区就那几个,剩下都不是什么好鸟

为什么部分家宽ASN也被拉黑

谁让这些傻逼HKT,HGC对外攻击的出场次数这么多呢

为什么部分常见代理IP也被拉黑

比如AZ,AWS等,常用于代理落地,同样,你代理落地成本低,人家拿来攻击成本也低

ScannerReport项目

https://github.com/BlueSkyXN/ScannerReport

可以查看被我列入清单的垃圾ASN名单和快速导入表达式