Cloudflare自动拉黑恶意IP到防火墙和自动切换5秒盾脚本防CC攻击

免费网站 2024年03月15日 18:50

文章目录一、Cloudflare自动拉黑恶意IP1.1 找出恶意IP1.2 批量添加IP到防火墙1.3 自动找出恶意IP并添加到防火墙二、Cloudflare自动切换5秒盾脚本三、总结

一个朋友将自己的企业站放在其云否主机上，流量不大，但由于使用的是经常受到CC攻击，主要表现就是IO和CPU爆增，最后就是数据库挂掉导致网站无法访问。一开始启用了Cloudflare，但是攻击者疯狂地扫描，防御效果一般。

为了能够精确地识别恶意IP，在启用了Cloudflare CDN后需要在Nginx和Apache中启用Real IP模块，然后利用脚本分析网站日志，从日志中搜集异常IP，然后使用Cloudflare API批量将恶意IP添加到Cloudflare的防火墙当中。

当然，当网站遭遇非常强大的CC和DDoS攻击时，我们可以启用Cloudflare经典的5秒盾防攻击，如果把握不了攻击的频率的话，可以设置一个定时任务，当系统负载超过某一个值（一般来攻击会导致系统负载爆增），调用Cloudflare API启用5秒盾。

更多的关于网站安全和优化，这里有：

五条关于使用免费VPS控制面板的安全建议-不让黑客有可趁之机Linux的php-fpm优化心得-php-fpm进程占用内存大和不释放内存问题启用HSTS并加入HSTS Preload List让网站Https访问更加安全-附删除HSTS方法

PS：更新记录.

1、很多人不想修改NS服务器但是又想接入CloudFlare CDN，这里有最新的方法：最新CloudFlare免费CNAME和IP接入教程-无需修改NS直接接入CloudFlare。2022.8.3

2、这里还有一个应对小型CC和DDos攻击的策略，可以帮助应急：解决VPS网站小型CC攻击的方法-CloudFlare+Nginx+iptables防火墙。2020.12.27

3、对于VPS的安全问题，很朋友可能会忽视VPS本身的SSH配置，这里有强化策略：VPS主机和服务器安全防护:SSH修改端口,添加白名单,仅限密钥登录。2019.3.25

一、Cloudflare自动拉黑恶意IP1.1 找出恶意IP

利用脚本分析在一分钟单个IP访问的频率，超过一定的频率（一般来正常的访问，一分钟内应该不超过60次，你可以设置为更小），即认定为恶意IP。脚本如下：

使用以下代码就可以将恶意IP批量添加到Cloudflare的防火墙了，记得替换为你的Cloudflare API。

#!/bin/bash# Author: Zhys# Date : 2018# 填Cloudflare Email邮箱CFEMAIL="freehao123@gmail.com"# 填Cloudflare API keyCFAPIKEY="xxxxxxxxxxxxxxxx"# 填Cloudflare Zones ID 域名对应的IDZONESID="xxxxxxxxxxxxxxxxxxxx"# /data/wwwlogs/black.txt存放恶意攻击的IP列表# IP一行一个。IPADDR=$(</data/wwwlogs/black.txt)# 循环提交 IPs 到 Cloudflare 防火墙黑名单# 模式（mode）有 block, challenge, whitelist, js_challengefor IPADDR in ${IPADDR[@]}; doecho $IPADDRcurl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \ -H "X-Auth-Email: $CFEMAIL" \ -H "X-Auth-Key: $CFAPIKEY" \ -H "Content-Type: application/json" \ --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'done# 删除 IPs 文件收拾干净rm -rf /data/wwwlogs/black.txt1.3 自动找出恶意IP并添加到防火墙

直接将上面两个脚本合并到一个脚本即可。

#/bin/bash#日志文件，你需要改成你自己的路径logfile=/data/wwwlogs/last_minutes=1 #开始时间1分钟之前（这里可以修改,如果要几分钟之内攻击次数多少次，这里可以自定义）start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'echo $start_time#结束时间现在stop_time=`date +"%Y-%m-%d %H:%M:%S"`echo $stop_timecur_date="`date +%Y-%m-%d`" echo $cur_date#过滤出单位之间内的日志并统计最高ip数，请替换为你的日志路径tac $logfile/sky.ucblog.net_nginx.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`# 单位时间[1分钟]内单ip访问次数超过2次的ip记录入black.log,这里为了测试设置2，你需要改成其它的数字for line in $ipdoecho $line >> $logfile/black.txtecho $line# 这里还可以执行CF的API来提交数据到CF防火墙done# 填Cloudflare Email邮箱CFEMAIL="freehao123@gmail.com"# 填Cloudflare API keyCFAPIKEY="xxxxxxxxxxxxxxxxxxxxxxxx"# 填Cloudflare Zones ID 域名对应的IDZONESID="xxxxxxxxxxxxxxxxxxxxxxxxxxx"# /data/wwwlogs/black.txt存放恶意攻击的IP列表# IP一行一个。IPADDR=$(</data/wwwlogs/black.txt)# 循环提交 IPs 到 Cloudflare 防火墙黑名单# 模式（mode）有 block, challenge, whitelist, js_challengefor IPADDR in ${IPADDR[@]}; doecho $IPADDRcurl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \ -H "X-Auth-Email: $CFEMAIL" \ -H "X-Auth-Key: $CFAPIKEY" \ -H "Content-Type: application/json" \ --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'done# 删除 IPs 文件收拾干净 rm -rf /data/wwwlogs/black.txt

上面的脚本我已经放在我的下载中心，可以提供给大家下载使用，代码如下：

wget https://do.wzfou.net/shell/attack-ip.shchmod +x /qicmd/cfblockip.sh./cfblockip.shwget https://do.wzfou.net/shell/attack-ip.shchmod +x /qicmd/attack-ip.sh./attack-ip.shwget https://do.wzfou.net/shell/cf-block-attack-ip.shchmod +x /qicmd/cf-block-attack-ip.sh./cf-block-attack-ip.sh

最后，设置一个定时任务，让脚本每过一分钟检测一次（请根据需要来调整，关于定时任务的使用参考：Linux Crontab命令定时任务基本语法）

* * * * * /bin/bash /root/cf-block-attack-ip.sh > /tmp/ou1t.log 2>&1

自动添加恶意IP到CloudFlare防火墙的效果如下：

二、Cloudflare自动切换5秒盾脚本

网站：

https://github.com/Machou/Cloudflare-Block

当你的服务器受到攻击时，系统负载就会爆增，利用脚本自动检测系统负载，当压力超过一定的值时就可以切换为” I’m Under Attack! “模式了。操作步骤如下：

#下载cd /root && git clone https://github.com/Machou/Cloudflare-Block.git DDoS#打开Cloudflare.sh，修改配置API_KEYYou're Global API Key (https://dash.cloudflare.com/profile)MAIL_ACCOUNTEmail of your Cloudflare accountDOMAINZone ID (https://dash.cloudflare.com/_zone-id_/domain.com)#设置定时任务crontab -e*/1 * * * * /root/DDoS/Cloudflare.sh 0 # check every 1 minute if protection is not enabled*/20 * * * * /root/DDoS/Cloudflare.sh 1 # check every 20 minutes if protection is enabled

脚本默认的是检测系统负载为10，启动” I’m Under Attack! “模式，你以根据需要来调整。如下图：

完整的脚本代码如下：

#!/bin/bash# $1 = 1min, $2 = 5min, $3 = 15minloadavg=$(cat /proc/loadavg|awk '{printf "%f", $1}')# load is 10, you can modify this if you want load more than 10maxload=10# Configuration API Cloudflare# You're Global API Key (https://dash.cloudflare.com/profile)api_key=# Email of your account Cloudflareemail=# Zone ID (https://dash.cloudflare.com/_zone-id_/domain.com)zone_id= # create file attacking if doesn't existif [ ! -e $attacking ]; then echo 0 > $attackingfiattacking=./attackinghasattack=$(cat $attacking)if [ $(echo "$loadavg > $maxload"|bc) -eq 1 ]; then if [[ $hasattack = 0 && $1 = 0 ]]; then # Active protection echo 1 > $attacking curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level" \ -H "X-Auth-Email: $email" \ -H "X-Auth-Key: $api_key" \ -H "Content-Type: application/json" \ --data '{"value":"under_attack"}' fi else if [[ $hasattack = 1 && $1 = 1 ]]; then # Disable Protection echo 0 > $attacking curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level" \ -H "X-Auth-Email: $email" \ -H "X-Auth-Key: $api_key" \ -H "Content-Type: application/json" \ --data '{"value":"high"}' fifiexit 0三、总结

Cloudflare是一个非常好用的防御DDos和CC攻击的工具，免费版本的Cloudflare结合API可以实现更加灵活的功能，对于普通的防御足够自己使用了。

Cloudflare防护也有一定的问题，那就是启用了Cloudflare后获取到用户的IP都是Cloudflare CDN节点的IP，我们还需要在服务器配置中做进一步的优化。