最近,主机帮发现网站服务器经常CPU占满,带宽被占满,于是观察了下网站请求日志,发现很多请求并没有经过百度云防护防火墙请求进来的,因为主机帮网站的请求日志并没有开启CDN真实用户IP识别,所以如果是通过百度云防火墙进来的话,那么显示的IP应该是百度的回源IP:
但,现在除了百度回源IP外,还有大量的非百度回源IP请求进来,说明这些非百度IP的请求是直接通过源服务器IP请求进来的。
为什么会出现这种情况,主机帮也不是很清楚,可能是对方通过扫描全网IP,进来的,也可能是做了搜索引擎回源进来的,也可能是同台服务器的网站直接解析暴露的,不过这都不重要,今天我们来学习下这种直接绕过百度云防护WAF拦截的IP,要如何解决。
方法1:服务器安全组/防火墙拦截
这种是通过查看网站日志,把不是CDN回源的请求IP拦截,比如66.249.79.5、66.249.79.6就是日志里典型的扫描IP,通过设置端口规则拦截,如下图:
不过,这种方法有个缺点,如果绕过防火墙的IP过多设置起来比较麻,或者对方更换IP,就需要重新设置禁止。
2 服务器禁止对外开放 只放开防火墙回源IP请求
通过设置服务器安全组或者防火墙把80和443端口禁止对外访问,然后添加百度云防护回源IP段访问白名单,这样你的网站请求只能通过百度云防护访问进来。
缺点是,如果你的服务器里有别的域名,而且这个域名并没有接入百度云防护,那么会影响这个网站的正常访问。
3 在nginx网站配置文件里添加只允许百度云防护回源IP段访问
这个方法完美解决了上面的缺点,只允许百度云防护回源IP段访问,其它IP段访问一律403 如下图:
在网站配置里添加添加:
#########################################################################
# 只允许百度云防护回源IP段,其它IP一律403
#########################################################################
# IPV4 单IP /32
allow 114.111.24.152/32;
allow 106.13.248.83/32;
allow 114.111.24.217/32;
allow 114.111.24.136/32;
allow 106.13.244.72/32;
allow 106.13.248.135/32;
allow 114.111.24.230/32;
allow 106.13.248.235/32;
allow 106.13.244.114/32;
allow 106.13.244.161/32;
# IPV4 段
allow 114.111.20.32/27;
allow 111.63.71.192/26;
allow 150.138.245.192/26;
allow 119.188.178.192/26;
allow 119.188.179.192/26;
# 拒绝其它所有
deny all;
######################################################################### 保存后,重启nginx服务,即可生效,此时通源服务器IP访问网站的,都会显示403
需要注意的事,此使用此方法一定要关掉CDNcdn来源IP解析(识别访客真实用户IP),因为会影响nginx拦截。
4.修改网站访问端口
通过把服务器网站80端口和443端口改成别的端口,然后在百度云防护接入配置里修改对应的回源端口即可。
这种方法的好处是,有效隐藏了源服务器网站的对外端口,使源服务器更安全。
好了,以上就是一些解决绕过百度云防护web应用防火墙WAF的访问网站的一些措施,希望可以帮到大家,如果有不懂的,可以留言咨询。
