在群里看到公安部發(fā)布的這條信息.現(xiàn)在分享給大家.大家網(wǎng)站經(jīng)常被DDOS或者被CC的朋友.
可以防御下��!
就簡(jiǎn)單講下.
以下就兩種防護(hù).建議大家都開(kāi)啟.首先我們來(lái)看看本地防護(hù)
1. 服務(wù)器管理
2. 新增服務(wù)器
點(diǎn)擊服務(wù)器管理按鈕后��,轉(zhuǎn)到服務(wù)器管理頁(yè)面��,點(diǎn)擊新增服務(wù)器按鈕:
3. 獲取本地防護(hù)安裝碼
新增好服務(wù)器后,點(diǎn)擊列表中按鈕本地防護(hù)安裝碼��,彈出防護(hù)軟件安裝嗎��,系統(tǒng)每隔5分鐘去獲取防護(hù)軟件安裝碼��。
4. 訪問(wèn)本地防護(hù)
步驟1 https://ip:7000登錄系統(tǒng)
步驟2 默認(rèn)用戶名密碼為:admin/admin��,登陸之后��,系統(tǒng)界面如下:
5. 許可設(shè)置
默認(rèn)根據(jù)MAC生成的許可信息都是永久��,如果許可信息更新就在這設(shè)置��,填入新的序列號(hào)
二��、云防護(hù)
1. 添加防護(hù)域名
登錄阿里云控制臺(tái)��,找到云盾->Web應(yīng)用防火墻->域名配置��,輸入相關(guān)的域名及源站信息��,并點(diǎn)擊“添加域名”按鈕:
2. 選擇接入方式
點(diǎn)擊添加域名后��,會(huì)彈出選擇解析方式的彈窗:
如果您當(dāng)前添加的域名解析也在阿里云(萬(wàn)網(wǎng)),并且也是用當(dāng)前登錄的賬號(hào)配置的��,您可以選擇左邊的一鍵解析(符合條件的域名��,一鍵解析選項(xiàng)不會(huì)置灰)��,系統(tǒng)會(huì)自動(dòng)為您修改當(dāng)前添加域名的DNS解析并接入WAF��,這個(gè)過(guò)程大概需要10-15分鐘��,配置完畢后界面會(huì)提示您已經(jīng)接入WAF防護(hù)��。 如果不符合一鍵解析的條件��,您可以選擇右邊的手動(dòng)修改��,我們稍后會(huì)介紹如何手動(dòng)配置DNS��。
3. 獲取CNAME
配置好域名后��,WAF會(huì)自動(dòng)分配給當(dāng)前域名一個(gè)CNAME��,可點(diǎn)擊域名信息來(lái)查看:
這個(gè)CNAME在稍后配置DNS解析時(shí)會(huì)用到��。如果您需要知道當(dāng)前WAF的IP地址��,可以通過(guò)ping一下這個(gè)CNAME的方式��,一般情況下這個(gè)IP不會(huì)頻繁變動(dòng)��。
4. 上傳HTTPS證書(shū)和私鑰(僅針對(duì)HTTPS站點(diǎn))
如果防護(hù)HTTPS站點(diǎn)��,必須上傳服務(wù)器的證書(shū)和私鑰到WAF��,否則訪問(wèn)HTTPS站點(diǎn)會(huì)有問(wèn)題��。勾選HTTPS后��,會(huì)看到紅色的“異?�!弊謽?�,提示當(dāng)前證書(shū)有問(wèn)題��,點(diǎn)擊“上傳證書(shū)”來(lái)上傳:
WAF可以直接復(fù)制證書(shū)和私鑰文本內(nèi)容��,一般如pem��、cer��、crt等證書(shū)格式��,可用文本編輯器直接打開(kāi),有些格式(如PFX��、P7B等)的證書(shū)需要先轉(zhuǎn)換成這些格式��,轉(zhuǎn)換方式可參考這里��。如果有多個(gè)證書(shū)文件(如證書(shū)鏈)��,可拼接合并后一起上傳��。
WAF能識(shí)別的證書(shū)樣例格式如下:
-----BEGIN CERTIFICATE-----62EcYPWd2Oy1vs6MTXcJSfN9Z7rZ9fmxWr2BFN2XbahgnsSXM48ixZJ4krc+1M+j2kcubVpsE2cgHdj4v8H6jUz9Ji4mr7vMNS6dXv8PUkl/qoDeNGCNdyTS5NIL5ir+g92cL8IGOkjgvhlqt9vc65Cgb4mL+n5+DV9uOyTZTW/MojmlgfUekC2xiXa54nxJf17Y1TADGSbyJbsC0Q9nIrHsPl8YKkvRWvIAqYxXZ7wRwWWmv4TMxFhWRiNY7yZIo2ZUhl02SIDNggIEeg==-----END CERTIFICATE-----
私鑰樣例格式如下:
-----BEGIN RSA PRIVATE KEY-----DADTPZoOHd9WtZ3UKHJTRgNQmioPQn2bqdKHop+B/dn/4VZL7Jt8zSDGM9sTMThLyvsmLQKBgQCr+ujntC1kN6pGBj2Fw2l/EA/W3rYEce2tyhjgmG7rZ+A/jVE9fld5sQra6ZdwBcQJaiygoIYoaMF2EjRwc0qwHaluq0C15f6ujSoHh2e+D5zdmkTg/3NKNjqNv6xA2gYpinVDzFdZ9Zujxvuh9o4Vqf0YF8bv5UK5G04RtKadOw==-----END RSA PRIVATE KEY-----
上傳完畢后��,HTTPS狀態(tài)應(yīng)該變?yōu)檎#?/p>
4. 接入狀態(tài)異常排查
剛添加完域名時(shí)��,接入狀態(tài)可能會(huì)提示異常:
這是正常的��,待修改DNS使用CNAME解析接入WAF后��,或者是有正常流量經(jīng)過(guò)WAF以后會(huì)變成正常的��,具體判斷標(biāo)準(zhǔn)可參考CNAME接入狀態(tài)說(shuō)明��。 至此��,控制臺(tái)配置完成��。您可以繼續(xù)添加其他域名��,或進(jìn)入到下一步��。
步驟二:放行回源IP段1.何為回源IP段��?在哪里��?
WAF控制臺(tái)提供了最新的回源IP段列表:
回源IP是WAF用來(lái)代理客戶端請(qǐng)求服務(wù)器時(shí)用的源IP��,在服務(wù)器看來(lái)��,接入WAF后所有源IP都會(huì)變成WAF的回源IP��,而真實(shí)的客戶端地址會(huì)被加在HTTP頭部的XFF字段中��。 強(qiáng)烈建議接入WAF后卸載掉服務(wù)器上的其他安全軟件��,如安全狗��、云鎖等��,至少確保源站已將WAF的全部回源IP放行(加入白名單)��,不然可能會(huì)出現(xiàn)網(wǎng)站打不開(kāi)或極其緩慢的情況��。
2.為何要放行回源IP段?
接入WAF后��,WAF作為一個(gè)反向代理存在于客戶端和服務(wù)器之間��,服務(wù)器的真實(shí)IP被隱藏起來(lái)��,客戶端只能看到WAF��,而看不到源站��。如下圖所示(origin為源站):
在源站(真實(shí)服務(wù)器)看來(lái)��,所有的請(qǐng)求源IP都會(huì)變成WAF的回源IP段��。 由于來(lái)源的IP變得更加“集中”��,頻率會(huì)變得更快��,服務(wù)器上的防火墻或安全軟件很容易認(rèn)為這些IP在發(fā)起攻擊��,從而將其拉黑��。一旦拉黑��,WAF的請(qǐng)求將無(wú)法得到源站的正常響應(yīng)��,故務(wù)必要確?�;卦碔P在源站上沒(méi)有被攔截��。
步驟三:本地驗(yàn)證
在把業(yè)務(wù)流量切到WAF上之前��,建議先通過(guò)本地驗(yàn)證的方式確保一切配置正常��,WAF轉(zhuǎn)發(fā)正常��。
首先需要修改本地hosts文件(什么是hosts文件)��,使本地對(duì)于被防護(hù)站點(diǎn)的請(qǐng)求先經(jīng)過(guò)WAF��。以Windows為例��,hosts文件的位置一般位于“C:\Windows\System32\drivers\etc\hosts”��,用記事本或notepad++等文本編輯器打開(kāi)��,在最后一行添加如下內(nèi)容:
WAF的IP 被防護(hù)域名
其中前面的IP地址為對(duì)應(yīng)的WAFIP地址��,WAF的IP可以通過(guò)ping提供的CNAME來(lái)獲得��,
修改hosts文件后保存��。然后本地ping一下被防護(hù)的域名,預(yù)期此時(shí)解析到的IP地址應(yīng)該是剛才綁定的WAF IP地址��。如果依然是源站地址��,可嘗試刷新本地的DNS緩存(Windows的cmd下可以使用ipconfig/flushdns命令)��。
確認(rèn)hosts綁定已經(jīng)生效(域名已經(jīng)本地解析為WAF的IP)后��,打開(kāi)瀏覽器��,輸入該域名進(jìn)行訪問(wèn)��,如果WAF的配置正確��,網(wǎng)站預(yù)期能夠正常打開(kāi)��。 同時(shí)也可以嘗試一下手動(dòng)模擬一些簡(jiǎn)單的web攻擊命令��,如 在URL后面加一個(gè)/?alert(xss)��,這是一個(gè)測(cè)試的web攻擊請(qǐng)求��,如aliyundemo/?alert(xss) 預(yù)期WAF能夠彈出阻攔頁(yè)面:
一切OK后��,接下來(lái)可以把業(yè)務(wù)流量切到WAF上來(lái)了��。
步驟四:修改DNS解析
通過(guò)修改DNS解析到WAF��,完成業(yè)務(wù)正式接入��。本篇以萬(wàn)網(wǎng)和花生殼為例��,給出DNS配置的方式��,其他的DNS提供商可以類似配置��。 首先找到在步驟一中記錄下的對(duì)應(yīng)CNAME��,如xxxxxxxx7wmqvixt8vedyneaepztpuqu.alicloudwaf��。
1.CNAME接入說(shuō)明
WAF支持CNAME解析接入��,也可以A記錄解析��,但我們強(qiáng)烈推薦使用CNAME解析��,因?yàn)樵谀承O端情況下(如節(jié)點(diǎn)故障��、機(jī)房故障等)��,CNAME接入可以實(shí)現(xiàn)自動(dòng)切換節(jié)點(diǎn)IP甚至將解析切回源站��,從而最大程度保證業(yè)務(wù)穩(wěn)定,提供了高可用性和災(zāi)備能力��。
必須使用A記錄接入的情況(比如@記錄與MX記錄沖突等)��,可以ping一下CNAME得到WAF的IP地址(這個(gè)地址一般不會(huì)頻繁變化)��,采用A記錄解析接入��。
2.主機(jī)記錄說(shuō)明
以域名abc為例:
www:用以精確匹配www開(kāi)頭的域名��,如abc��,不能匹配abc@:可以匹配直接訪問(wèn)abc的情況*:泛域名��,可匹配任意域名��,如blog.abc, abc��,abc
3.萬(wàn)網(wǎng)配置示例
登錄萬(wàn)網(wǎng)控制臺(tái)��,找到對(duì)應(yīng)域名的“域名解析”->“解析設(shè)置”��,正常情況下會(huì)有已經(jīng)存在的一些解析��,如下圖:
將記錄類型改成CNAME��,記錄值改成WAF控制臺(tái)提供的CNAME��,如下圖:
當(dāng)然��,對(duì)應(yīng)多個(gè)記錄類型��,WAF會(huì)提供多個(gè)CNAME��,分別修改記錄就可以了��。
TTL值一般建議600秒��,這個(gè)值越大��,DNS記錄的同步和更新越慢��。
4.花生殼配置示例
有的域名提供商不像萬(wàn)網(wǎng)可以支持直接修改已有域名的記錄類型和主機(jī)類型��,如花生殼��,需要先將原有的A記錄刪除��,再添加CNAME記錄��。請(qǐng)盡快完成此操作,否則刪除原有解析后會(huì)解析失敗��。其他配置類似:
至此��,WAF的接入完成��。
