Cloudflare自动检测恶意IP拉黑到防火墙和自动切换5秒盾防CC攻击

已于 2023-03-09 03:49:12 修改
阅读量2.7k 收藏 11
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CC防御 文章标签: tcp/ip php 网络
于 2023-03-09 03:45:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012241616/article/details/129415145
文章介绍了如何使用Cloudflare结合脚本来自动检测和防御DDoS和CC攻击。通过监控日志分析异常IP,将其加入防火墙黑名单,并在系统负载过高时切换到Cloudflare的UnderAttack模式,提高网站安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

资源宝分享:www.httple.net

Cloudflare很多朋友都在使用,如果你的网站服务器架设在国外,那Cloudflare是一个非常好的加速工具,一可以为你的网站进行加速,二可以给你的网站提供防护

网站遭遇非常强大的CC和DDoS攻击时,启用Cloudflare经典的5秒盾防攻击,设置一个定时任务,当系统负载超过某一个值,调用Cloudflare API启用5秒盾。

一、Cloudflare自动拉黑恶意IP

利用脚本分析在一分钟单个IP访问的频率,超过一定的频率(一般来正常的访问,一分钟内应该不超过60次,你可以设置为更小),即认定为恶意IP。脚本如下:

#/bin/bash

#日志文件,你需要改成你自己的路径

logfile=/data/wwwlogs/

last_minutes=1 

#开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)

start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'

echo $start_time

#结束时间现在

stop_time=`date +"%Y-%m-%d %H:%M:%S"`

echo $stop_time

cur_date="`date +%Y-%m-%d`" 

echo $cur_date

#过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径

tac $logfile/sky.ucblog.net_nginx.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10

ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`

ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`

# 单位时间[1分钟]内单ip访问次数超过2次的ip记录入black.txt,这里wzfou.com为了测试设置了2,你需要改成其它的数字

for line in $ip

do

echo $line >> $logfile/black.txt

echo $line

# 这里还可以执行CF的API来提交数据到CF防火墙

done

批量添加IP到防火墙
使用以下代码就可以将恶意IP批量添加到Cloudflare的防火墙了,记得替换为你的Cloudflare API。

#!/bin/bash
# Author: Zhys
# Date  : 2018

# 填Cloudflare Email邮箱
CFEMAIL="freehao123@gmail.com"
# 填Cloudflare API key
CFAPIKEY="xxxxxxxxxxxxxxxx"
# 填Cloudflare Zones ID 域名对应的ID
ZONESID="xxxxxxxxxxxxxxxxxxxx"

# /data/wwwlogs/black.txt存放恶意攻击的IP列表
# IP一行一个。
IPADDR=$(</data/wwwlogs/black.txt)

# 循环提交 IPs 到 Cloudflare  防火墙黑名单
# 模式(mode)有 block, challenge, whitelist, js_challenge
for IPADDR in ${IPADDR[@]}; do
echo $IPADDR
curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \
  -H "X-Auth-Email: $CFEMAIL" \
  -H "X-Auth-Key: $CFAPIKEY" \
  -H "Content-Type: application/json" \
  --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'
done

# 删除 IPs 文件收拾干净
rm -rf /data/wwwlogs/black.txt

自动找出恶意IP并添加到防火墙
直接将上面两个脚本合并到一个脚本即可。

#/bin/bash

#日志文件,你需要改成你自己的路径

logfile=/data/wwwlogs/

last_minutes=1 

#开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)

start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'

echo $start_time

#结束时间现在

stop_time=`date +"%Y-%m-%d %H:%M:%S"`

echo $stop_time

cur_date="`date +%Y-%m-%d`" 

echo $cur_date

#过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径

tac $logfile/sky.ucblog.net_nginx.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10

ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`

ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`

# 单位时间[1分钟]内单ip访问次数超过2次的ip记录入black.log,这里为了测试设置2,你需要改成其它的数字

for line in $ip

do

echo $line >> $logfile/black.txt

echo $line

# 这里还可以执行CF的API来提交数据到CF防火墙

done

# 填Cloudflare Email邮箱
CFEMAIL="freehao123@gmail.com"
# 填Cloudflare API key
CFAPIKEY="xxxxxxxxxxxxxxxxxxxxxxxx"
# 填Cloudflare Zones ID 域名对应的ID
ZONESID="xxxxxxxxxxxxxxxxxxxxxxxxxxx"

# /data/wwwlogs/black.txt存放恶意攻击的IP列表
# IP一行一个。
IPADDR=$(</data/wwwlogs/black.txt)

# 循环提交 IPs 到 Cloudflare  防火墙黑名单
# 模式(mode)有 block, challenge, whitelist, js_challenge
for IPADDR in ${IPADDR[@]}; do
echo $IPADDR
curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \
  -H "X-Auth-Email: $CFEMAIL" \
  -H "X-Auth-Key: $CFAPIKEY" \
  -H "Content-Type: application/json" \
  --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'
done

# 删除 IPs 文件收拾干净
 rm -rf /data/wwwlogs/black.txt

上面的脚本我已经放在我的下载中心,可以提供给大家下载使用,代码如下:

wget https://do.wzfou.net/shell/attack-ip.sh
chmod +x /qicmd/cfblockip.sh
./cfblockip.sh

wget https://do.wzfou.net/shell/attack-ip.sh
chmod +x /qicmd/attack-ip.sh
./attack-ip.sh

wget https://do.wzfou.net/shell/cf-block-attack-ip.sh
chmod +x /qicmd/cf-block-attack-ip.sh
./cf-block-attack-ip.sh

最后,设置一个定时任务,让脚本每过一分钟检测一次(请根据需要来调整,关于定时任务的使用参考:Linux Crontab命令定时任务基本语法)

* * * * * /bin/bash /root/cf-block-attack-ip.sh > /tmp/ou1t.log 2>&1

自动添加恶意IP到CloudFlare防火墙的效果如下:
在这里插入图片描述

Cloudflare自动切换5秒盾脚本

网站:

https://github.com/Machou/Cloudflare-Block

当你的服务器受到攻击时,系统负载就会爆增,利用脚本自动检测系统负载,当压力超过一定的值时就可以切换为” I’m Under Attack! “模式了。操作步骤如下:

#下载
cd /root && git clone https://github.com/Machou/Cloudflare-Block.git DDoS

#打开Cloudflare.sh,修改配置
API_KEY			You're Global API Key (https://dash.cloudflare.com/profile)
MAIL_ACCOUNT		Email of your Cloudflare account
DOMAIN			Zone ID (https://dash.cloudflare.com/_zone-id_/domain.com)

#设置定时任务
crontab -e

*/1 * * * * /root/DDoS/Cloudflare.sh 0 # check every 1 minute if protection is not enabled
*/20 * * * * /root/DDoS/Cloudflare.sh 1 # check every 20 minutes if protection is enabled

脚本默认的是检测系统负载为10,启动” I’m Under Attack! “模式,你以根据需要来调整。如下图:
在这里插入图片描述
完整的脚本代码如下:

#!/bin/bash


# $1 = 1min, $2 = 5min, $3 = 15min
loadavg=$(cat /proc/loadavg|awk '{printf "%f", $1}')


# load is 10, you can modify this if you want load more than 10
maxload=10


# Configuration API Cloudflare
# You're Global API Key (https://dash.cloudflare.com/profile)
api_key=
# Email of your account Cloudflare
email=
# Zone ID (https://dash.cloudflare.com/_zone-id_/domain.com)
zone_id=     


# create file attacking if doesn't exist
if [ ! -e $attacking ]; then
  echo 0 > $attacking
fi

attacking=./attacking


hasattack=$(cat $attacking)


if [ $(echo "$loadavg > $maxload"|bc) -eq 1 ]; then

  if [[ $hasattack = 0 && $1 = 0 ]]; then

    # Active protection
    echo 1 > $attacking
    curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level" \
            -H "X-Auth-Email: $email" \
            -H "X-Auth-Key: $api_key" \
            -H "Content-Type: application/json" \
            --data '{"value":"under_attack"}'
  fi

  else
    if [[ $hasattack = 1 && $1 = 1 ]]; then

    # Disable Protection
    echo 0 > $attacking
    curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level" \
            -H "X-Auth-Email: $email" \
            -H "X-Auth-Key: $api_key" \
            -H "Content-Type: application/json" \
            --data '{"value":"high"}'
  fi
fi

exit 0

总结
Cloudflare是一个非常好用的防御DDos和CC攻击的工具,免费版本的Cloudflare结合API可以实现更加灵活的功能,对于普通的防御足够自己使用了。

如何用 Python 绕过 cloudflare5) 抓取数据:也不是很难嘛!
小鸿的博客
07-09 4278
逆向是爬虫工程师进阶必备技能,当我们遇到一个问题时可能会有多种解决途径,而如何做出最高效的抉择又需要经验的积累。本期文章将以实战的方式,带你全面了解 cloudflare5) 以及如何绕过使用 cloudflare 服务的网站从而抓取数据
linux宝塔ip,宝塔面板自动恶意IPCloudflare防火墙
weixin_35419402的博客
05-07 1898
下面是编程之家 jb51.cc 通过网络收集整理的代码片段。编程之家小编现在分享给大家,也给大家做个参考。宝塔面板免费版本足够用了,所以我们从来也不去折腾什么开新版本,当然了土豪可以购买专业版,但是对于屌丝来说,免费版真的是足够好用,如果我们动手能力稍微强一点,那么使用起来专业版也是没有什么差别的,而且都是自己动手,这样对于提高自己的服务器水平还是很有帮助的。关于 Cloudflare 也讲过不...
爬虫反爬之5 - cloudflare
qq_33658268的博客
08-10 6371
爬虫反反爬之5 - cloudflare原创文章。
Cloudflare爬虫破解方案
最新发布
w987333120的博客
06-19 3213
Cloudflare通过 JA3 指纹、JS 执行等检测爬虫,特征为 403 状态码及 Cloudflare 响应头。破解方案:用 curl - cffi 模拟浏览器 JA3 指纹,绕过免费版;部署 FlareSolverr 代理服务,借 Webdriver 处理 JS 验证,适配付费版;用 DrissionPage 控制浏览器访问频率,绕过多数检测;接入穿云 API 付费服务,伪装用户行为。各方案依护等级需求选,核心是模拟浏览器行为、处理 JS 挑战并控制爬取频率。
恶意IP检测API接口,恶意IP威胁情报查询,通过大数据查询IP是否存在威胁或恶意
QQ799629269
06-09 2484
在当前的网络安全环境下,恶意攻击已经成为常态化,各种类型的攻击不断涌现,其中大部分的攻击都是通过IP地址发起的。因此,对IP地址的安全性进行监控检测,是保障网络安全的重要手段之一。例如,通过使用互联网安全公司提供的恶意IP检测API接口,可以通过简单的编程实现对所需IP地址的检测,从而在短时间内获取协同全网的涉恶IP情报。需要注意的是,恶意IP检测威胁情报查询只是网络安全护体系的一部分,建议企业在进行恶意IP检测威胁情报查询的同时,也要综合运用多种网络安全技术手段,形成全方位的网络安全护体系。
Cloudflare-Blacklist-Whitelist-Bulk:使用 Cloudflare 的 API 批量将 IP 列入名单、白名单取消名单
05-29
Cloudflare 批量名单/白名单/取消名单 使用 Cloudflare 的 API 批量将 IP 列入名单、白名单取消名单 更改文件顶部的参数并使用“php cloudflare-list.php”通过控制台运行或通过网络浏览器运行。
cloudflare 5s分析
qq_21050249的博客
07-06 1万+
cloudflare 5s分析
破解CloudFlare5
qq_42519299的博客
03-08 2857
注册https://yescaptcha.com/, 获取ClientKey。
Cloudflare 5自定义页面源代码.zip
06-19
Cloudflare是一家知名的云服务提供商,其55 Second Shield)是一项安全功能,旨在增强网站的御能力,止DDoS攻击其他恶意流量。自定义页面源代码允许用户在访问受保护的网站时显示个性化的错误或等待页面...
laravel-cloudflare:将 Cloudflare ip 地址添加到 Laravel 的可信代理
08-04
Cloudflare ip 地址添加到 Laravel 的可信代理。 安装 使用 Composer 安装: composer require monicahq/laravel-cloudflare 您不需要将此包添加到您的服务提供商。 在app/Http/Kernel.php中添加middleware ,...
易语言-过Cloudflare网站护计算jschl_answer
06-26
有时候网站为了CC攻击来设置了网站护,需要进行一段JS运算得出的值再通过重定向跳转来获取一段特定的clearance的cookies,最近看到一个网站设置了类似的护,来分析下代码: 1、首先访问主页,返回源码可以...
Cloudflare补环境分析
qq_45696543的博客
04-13 2286
本次五请求流程拆解使用的是 cookie 类型作为样例,其余类似无感token类型的五,在请求流程上对比cookie的流程大多只是做了一定的删减。
恶意IP检测API接口,恶意IP威胁情报查询,通过大数据查询IP是否存在威胁或恶意
m0_58269070的博客
04-07 1125
/接口参数,一行一个,可按照接口文档-请求参数 的参数填写,或者直接复制开发工具下面的测试代码。‘参数名’ => ‘参数值’,//签名校验的 SK:(在用户控制台https://www.youwk.cn/user/key的秘钥安全设置->签名校验 开启后才会生效,没开启签名校验留空即可。/*发起请求API接口:第1个参数:API接口地址URL,跟上面的同名变量相对应,无需更改。第2个参数:API接口参数数组,跟上面的同名变量相对应,无需更改。
给自己的网站带来平:实现自动开启Cloudflare5验证码
热门推荐
勿埋我心
01-14 2万+
愿你不会用到这个脚本,希望世界平,没有攻击与伤害。欢迎有疑惑在勿埋我心评论区留言。给自己的网站带来平:实现自动开启Cloudflare5验证码 - 勿埋我心。
绕过CloudFlare5,穿云API轻松应对反机器人验证
TG_punkll的博客
06-26 712
本文将介绍如何通过穿云API轻松绕过CloudFlare5的反机器人验证。CloudFlare5是一种常见的反爬虫机制,为网站提供了保护,但对于数据采集者来说,它可能成为获取数据的障碍。穿云API作为一种强大的工具,能够智能识别处理验证码,同时提供稳定的代理IP服务,帮助用户顺利通过验证,实现高效的数据抓取。本文将分析CloudFlare5的工作原理,并介绍如何使用穿云API绕过反机器人验证,为数据采集者提供一种简单、可行的解决方案。
利用cloudflarecc攻击
magicblack老王的博客
12-21 2686
经过大量研究自己被cc攻击的经验,这帮人手里大部分ip都是国外的,而你的网站针对的是国内人群,所以只需要屏蔽国外ip就可以达到很好的拦截cc攻击效果。 1,首先你得有http://cloudflare.com的账户,添加域名,按提示把域名dns服务器修改。 2,点击顶部菜单 【防火墙】,选择进入 创建防火墙规则 3,填写相关内容,名称随意 按照国家来筛选拦截即可。 这里演示除了 中国大陆,香港,台湾意外 全部 进入JS质询(或阻止)。表达式是 (ip.geoip.country
自动化解决python webdriver 爬虫遇到的Cloudflare5
cms专家
04-13 2433
该技术方案旨在解决各类网站中出现的5且需要手动点击的方案,已经经过大量网站的测试,基本100%的能解决人工验证。
【爬虫】 突破Cloudflare 5的艺术:使用Cloudscraper
哈哈哈哈哈哈哈
03-19 8085
无心生大用,有物不通神🎵 闪现吃血王昭君《道德经》在当今的互联网世界中,保护网站免受恶意访问变得尤为重要。Cloudflare是一种流行的解决方案,提供了多种安全功能,包括一个被广泛称为"5"(5 Second Challenge)的机制。这个机制要求访问者等待5钟,Cloudflare在这期间验证访问者不是机器人。这对于人类用户来说可能只是轻微不便,但对于需要自动化抓取网站数据的开发者来说,则可能成为一个大问题。本文将探讨如何使用Python库Cloudscraper来突破这一御机制。
识别恶意IP地址的有效方法
m0_73834612的博客
03-12 2383
通过建立完善的安全策略、利用名单、监测异常流量、地理位置分析、参与威胁情报共享以及进行主动脆弱性扫描等方法,可以有效识别应对恶意IP地址,保障网络安全。然而,要注意识别恶意IP地址的过程中也可能会误报正常流量,因此需要结合多种方法,进行综合分析判断,确保识别的准确性可靠性。利用流量分析工具机器学习算法,可以实现对异常流量的实时监测分析,及时发现恶意IP地址。通过参与公共威胁情报平台或与其他组织进行信息共享,可以获取更多的恶意IP地址信息相关威胁情报,提高恶意IP地址的识别准确度及时性。
cloudflare cc攻击的原理
02-23
### CloudflareCC攻击的详细机制原理 #### 一、流量检测与分析 Cloudflare利用全球分布的数据中心网络,可以实时监测并分析进入网站的流量模式。当识别到来自同一IP地址或其他特征相似的大量请求时,这些行为会被标记为潜在的CC攻击迹象[^3]。 #### 二、速率限制 对于疑似恶意访问者发起高频次HTTP(S)请求的情况,平台会自动施加速率限制措施。这可以通过设定每允许的最大请求数量来阻止过多连接消耗服务器资源,从而有效缓解CC攻击带来的压力。 #### 三、挑战页面验证 为了区分真实用户与机器人程序之间的差异,Cloudflare可能会向可疑来源展示验证码或执行JavaScript测试等交互式验证手段。只有成功完成相应操作后才能继续正常浏览网页内容;而那些无法通过检验的请求则被拒绝处理。 #### 四、智能算法决策 借助机器学习模型的支持,系统能够不断优化自身的判断逻辑,在不影响用户体验的前提下精准拦截异常活动。此过程涉及多维度数据分析,如地理位置、浏览器指纹等因素考量,进而提高整体安全性水平。 #### 五、边缘缓存加速 除了上述主动御方式外,Cloudflare还提供了强大的静态文件缓存功能。这意味着即使遭遇大规模并发访问冲击,大部分非动态内容仍可以从最近位置快速响应给访客,减轻源站负担的同时也降低了遭受CC攻击的风险[^1]。 ```python # Python伪代码示例:模拟简单的速率限制器 class RateLimiter: def __init__(self, limit_per_second=10): self.requests = {} self.limit = limit_per_second def allow_request(self, ip_address): now = time.time() if ip_address not in self.requests: self.requests[ip_address] = [] # 清理过期记录 self.requests[ip_address] = [ t for t in self.requests[ip_address] if now - t < 1 ] if len(self.requests[ip_address]) >= self.limit: return False self.requests[ip_address].append(now) return True ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云博客-资源宝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值