網站防黑

攻防策略

若是有人真D你的站點，你還真沒有辦法，固然我所說的羣體是針對中小站長而言，你連DDOS基礎防禦的清洗閾值都達不到。

若是你只是一個默默無聞的小站，根本不須要想那麼多。儘管如今DDOS成本很低，但誰不是無利不起早，除非你得罪了什麼人。

固然對於通常的攻擊咱們也不能坐以待斃，這裏總結了幾個小技巧，分享給你們，反向代理使用的是openresty。

Nginx優化

Nginx號稱最大併發5W，實際上對於中小站點來講幾十或者上百個併發就不錯了，最基本的參數就能夠知足需求。可是爲了安全期間，咱們最好隱藏其版本號。

# 隱藏版本，防止已知漏洞被利用 server_tokens off; #在http 模塊當中配置

PHP優化

在php渲染的網頁header信息中，會包含php的版本號信息，好比: X-Powered-by: php/5.6.30，這有些不安全，有些黑客可能採用掃描的方式，批量尋找低版本的php服務器，利用php漏洞(好比hash衝突)來攻擊服務器。

# 隱藏版本，防止已知漏洞被利用 php_admin_flag[expose_php] = off

IP黑名單

對付那種最low的攻擊，加入黑名單的確是一個不錯的選擇，否則別人AB就能把你壓死：

# 在Nginx的http模塊添加如下配置便可 deny 61.136.197.xxx; # 禁封IP段 deny 61.136.197.0/24;

IP日訪問次數

限制單個IP的日訪問次數，正常來講一個用戶的訪問深度不多超過10個，跳出率通常在50%-70%之間。其實咱們要作的把單個IP的日訪問量控制在100甚至50之內便可。

限制併發數

光限制訪問次數仍是不夠的，攻擊者可能瞬間涌入成百上千的請求，若是這些請求到後端服務，會打垮數據庫服務的，因此咱們還要基於咱們自身網站訪問狀況設置併發數。

• 限制單個IP的併發數
• 限制總併發數

這裏建議你們使用漏桶算法限流，來整形流量請求。

 

https://www.cnblogs.com/smallSevens/p/9221002.html