使用FAIL2BAN防CC屏蔽高频防问

最新推荐文章于 2025-09-30 02:55:35 发布
原创 最新推荐文章于 2025-09-30 02:55:35 发布 · 1.3k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维

本文讲述了作者如何在Debian系统中安装并配置FAIL2BAN以防止SSH暴力破解和CC攻击,包括解决启动问题、设置http-flood规则以及自定义filter以监测和限制异常HTTP请求。

之前换服务器至DEBIAN系统折腾了半天终于安装好了FAIL2BAN,见:debian12安装fail2ban折腾-优快云博客a文章浏览阅读354次,点赞9次,收藏4次。启动发现fail2ban启动失败,原因是找不到日志文件,发现默认情况下,debian不再有/var/log/auth.log文件,解决办法是安装rsyslog,安装后就有auth.log文件了。|- Currently banned: 1 # 当前禁止访问的IP数量。| `- File list: /var/log/auth.log # 日志文件路径列表。发现不加SUDO不行,很奇怪。#查看当前被禁止登陆的ip。#取消ban某个ip。https://blog.youkuaiyun.com/Solmyr_biti/article/details/135050650?spm=1001.2014.3001.5501

其实之前用FAIL2BAN只是为了防SSH被暴力破解,但其实我一般都是关闭22端口的。今天发现原来FAIL2BAN还可以防CC!

经常会有那么几次网站被疯狂扫描以及攻击导致接近宕机状态,其实可以用FAIL2BAN封杀之。

以下备用:

在DEBIAN系统下同样是编辑 /etc/fail2ban/jail.d/defaults-debian.conf:

[http-flood]
enabled = true
port = http,https
filter = http-flood
logpath = /var/log/nginx/access.log
maxretry = 100
findtime = 60
bantime = 600

这个规则使用了名为 http-flood 的filter,监控Nginx的访问日志 /var/log/nginx/access.log(具体根据实际路径修改)。它设置了在60秒内超过100次访问的IP将被封锁,封锁时间为600秒。

然后创建一个自定义的Fail2Ban filter规则,以匹配CC攻击的特征。在 /etc/fail2ban/filter.d/ 目录下创建一个名为 http-flood.conf 的文件,内容如下:

[Definition]
failregex = ^<HOST> -.*"(GET|POST).*
ignoreregex =

这个规则用于匹配HTTP请求的日志条目,你可能需要根据你的Web服务器日志格式进行调整。

这个过滤器的目的是在日志中查找包含某个IP地址和包含 "GET" 或 "POST" 请求的行。这有助于检测到针对网站的某些攻击或滥用行为,例如频繁的HTTP请求。如果在 findtime 时间窗口内有超过 maxretry 次的这种行为,Fail2Ban 将采取相应的封禁动作。

最后重启

sudo systemctl restart fail2ban

或者

sudo service fail2ban restart

这样,Fail2Ban将监控HTTP请求日志,如果检测到某个IP在短时间内发起过多请求,将自动封锁该IP一段时间,从而防范CC攻击。确保根据你的实际情况调整maxretryfindtimebantime等参数。

住的入侵者?试试Fail2ban,拦截黑客攻击
todoitbo的博客
04-21 1万+
本文将深入介绍Fail2ban工具的功能和用法,帮助读者理解如何通过Fail2ban来保护服务器免受恶意登录和暴力破解的攻击。我们将详细讨论Fail2ban的配置方法、工作原理和优化技巧,以及如何应对同类型的攻击。
SSH止暴力破解——Fail2ban操作系统
UtuVerilog的博客
09-25 503
通过使用Fail2ban,我们可以增加SSH服务器的安全性,止暴力破解攻击。在本文中,我们详细介绍了如何在操作系统中安装和配置Fail2ban来保护SSH服务器。然而,由于SSH采用的是基于用户名和密码的身份验证方式,它容易受到暴力破解攻击的威胁。为了增加SSH服务器的安全性,我们可以使用Fail2ban止暴力破解攻击。现在我们已经完成了Fail2ban的配置,可以启动Fail2ban服务并让它开始保护SSH服务器。至此,Fail2ban已经成功配置并开始监控SSH服务器的登录尝试。
Fail2ban止网站CC
peakchao
04-01 1809
Fail2ban可以通过日志监控操作火墙规则,来达到屏蔽IP的功能,可以很好的避免SSH暴力破解和网站流量攻击。 安装Fail2ban前,可以先配置Nginx限制IP访,具体操作请看我的另一篇博客:https://www.jianshu.com/p/3cb4c82633d1 安装Fail2ban: yum -y install epel-release yum repolis...
谈论Fail2ban+Nginx处理CC攻击和DDOS攻击
大唐锦绣的博客
06-27 1991
Fail2ban 是一款开源的入侵御软件,用于止暴力破解和其他形式的恶意攻击。虽然它主要设计用于检测和阻止基于日志的暴力破解尝试,但也可以用于处理低强度的CC(Challenge Collapsar)和部分DDoS(分布式拒绝服务)攻击,特别是在Nginx服务器上。
误判神器:10个Fail2Ban正则表达式优化技巧,让你的服务器更安全
最新发布
gitblog_00953的博客
09-30 646
你是否遇到过这样的情况:服务器明明设置了Fail2Ban护,却还是有误判,导致正常用户被封禁?或者漏判,让恶意攻击者有机可乘?别担心,本文将分享10个关键技巧,帮助你优化Fail2Ban正则表达式,减少误判,提升服务器安全性。读完本文,你将能够:掌握正则表达式基本语法,学会使用锚点和边界,优化字符类和量词,处理日志格式变化,使用命名捕获组,测试和调试正则表达式,避免常见陷阱,结合 jail 配置...
CentOS 7安装Fail2Ban止SSH暴力破解 (记录学习)
weixin_38912950的博客
09-04 4376
以Nginx为例,使用Fail2Ban监视Nginx日志,匹配短时间内频繁请求的IP,并使用Firewalld屏蔽这些IP,以达到CC护的作用。
Fail2ban详细教程,解决网站被扫描、CC攻击、ssh暴力破解、爬虫等
热门推荐
w710537643的博客
02-12 1万+
最近网站总是被高频度扫描,导致数据库连接过多,打开页面报“Error establishing a database connection“错误。最开始写了个监控网站的脚本,一旦发现网站打开,重启数据库就好了。但是这几天网站挂掉的频率越来越高,开始寻找新的办法了。 对于网站被恶意扫描、暴力破解、CC 攻击这一系列攻击,都有相似的特征,即高频率发请求导致主机资源使用率飙高。对于这些题,必须要做两件事,一个是识别恶意发请求的 IP,并封禁;二个是实现网站缓存、静态化等功能减少数据库查询。今天介...
十分钟阻断CC攻击——Fail2Ban与Nginx限流实战
@云安全小杜
04-27 870
服务器遭遇CC攻击,大量恶意请求占用连接资源。通过Fail2Ban动态封禁IP,结合Nginx限流策略,10分钟内恢复服务。创建自定义Jail规则。
Fail2ban轻量级安全
liangzonghua的博客
05-19 1053
Fail2ban是一款基于Python开发的实用安全软件,主要用于监控系统日志,通过正则表达式匹配错误信息,并执行相应的屏蔽动作(如调用火墙屏蔽IP)。它能够有效止恶意扫描和密码猜测等攻击,支持与iptables联动实现动态火墙功能。安装Fail2ban后,用户可以通过配置文件自定义规则,如设置SSH模块的监控参数(端口、日志路径、屏蔽时长等)。Fail2ban还支持设置白名单、查看被禁IP、调整iptables封禁策略等操作。通过Fail2ban与iptables的结合,可以显著提升服务器的安全性。
fail2ban-cloudflare:将fail2ban与Cloudflare API集成
05-08
fail2ban-cloudflare-适用于Cloudflare API V4 将Fail2ban与Cloudflare API(V4)集成在一起,以使用Nginx和Roboo减轻HTTP泛洪攻击。 要求: Nginx的 Roboo( ) Fail2ban 一个Cloudflare帐户( ) Ruby 1.9.3...
完美的宝塔面板御策略,基于 fail2ban
u010066597的博客
09-17 1543
选择菜单10,输入图片上方那一串ip地址,就是这么简单,当然先查看拦截记录,然后复制被拦截的ip。可以理解为所有站点都监控,如果要监控单个站点,那么选择菜单11,修改监控日志路径。如图,那一百多个ip就是 itdog 自身的ip,把itdog拉小黑屋了。以下设置钉钉的目的是有拦截的时候通知你,是可选的,可以用通知看个人。打开电脑(pc)打开桌面端钉钉,打开报警机器人,添加服务器ip,如图。测试更简单,两种方法,第一种选择菜单3,重点说第二种。打开站点配置文件,拉到最后,无需过多解释,看图吧,
fail2ban-blacklist:将禁止的IP保存在平面文件中,以供以后使用和导入
05-22
使用Fail2ban进行永久IP禁止 描述 该项目允许您通过一些非常基本的python脚本将fail2ban禁止使用的所有IP保存到黑名单文件中。 Fail2ban将在每次重新启动时禁止黑名单中的所有IP。 (请参阅:其他说明) 安装 警告...
nginx下使用fail2ban止网站被CC
weixin_30681121的博客
07-25 472
--安装fail2banyum install -y epel-release yum install -y fail2ban --配置fail2banvi /etc/fail2ban/jail.conf[http-get-dos]enabled = trueport = httpfilter = http-get-doslogpath = /home/wwwlogs/access.logma...
fail2ban 爆破,CC 攻击
weixin_30407613的博客
01-07 612
fail2ban fail2ban监视检测日志文件,根据匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作。 可用来放置爆破 和 CC 攻击。 安装: yum install fail2ban -y 配置: /etc/fal2ban 配置规则目录; /etc/fail2ban/filter.d 配置示例: ignoreip = 127.0.0.1/8 ...
使用 NGINX 流控和 fail2ban CC 攻击
weixin_34378767的博客
02-13 244
背景知识 CC 攻击 攻击者通过创建大量请求导致服务器资源耗尽,主要针对特定服务接口,属于实现 DoS 攻击的一种方式(DoS 攻击更多是针对网络端口,而是具体服务接口)。 NGINX 流控 limit_req_zone:通过“漏桶”算法限制每个 IP 发起的请求频率。 limit_conn_zone:限制每个 IP 发起的连接数。 fail2ban...
Debian 12 安装配置 fail2ban 保护 SSH 访
Dexter's Laboratory
12-24 1287
双十一的时候薅羊毛租了台腾讯云的虚机, 是真便宜, 只是没想到才跑了一个月, 系统里面就收集到了巨多的 SSH 恶意登录失败记录.只能说, 互联网真的是太安全了. 之前有用过fail2ban在 CentOS 7 上面做过护, 过那已经是好久好久之前的故事了, 好多方法已经再适用. 下面记录一下在 Debian 12 上安装和配置 fail2ban 的过程.
debian12安装fail2ban折腾
Anthony的专栏
12-17 1456
启动发现fail2ban启动失败,原因是找到日志文件,发现默认情况下,debian再有/var/log/auth.log文件,解决办法是安装rsyslog,安装后就有auth.log文件了。|- Currently banned: 1 # 当前禁止访的IP数量。| `- File list: /var/log/auth.log # 日志文件路径列表。发现加SUDO行,很奇怪。#查看当前被禁止登陆的ip。#取消ban某个ip。
SSH暴力破解工具Fail2ban部署指导书
qq_17846323的博客
04-23 1587
linux操作系统爆力破解工具
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值