全球主机交流论坛

标题: 写了一个驱动级nginx cc防火墙，以实现javascript验证网络层封ip [打印本页]

作者: C大屌 时间: 2023-5-8 00:51
标题: 写了一个驱动级nginx cc防火墙，以实现javascript验证网络层封ip
本帖最后由 C大屌于 2023-5-9 00:10 编辑

项目地址是https://github.com/dafeiyun/dafeiyun_nginx_firewall

基于nginx1.22制作，已经魔改了nginx核心源代码，可以让nginx实现JavaScript验证cc防御，并且还能自动执行iptables命令在网络层封ip和驱动级终止tcp连接

实测物理服务器E3-1230V2 100M下行宽带可以实现无视CC效果！

支持http和https防御可以自动解密https ssl证书防御。

后续将会把iptables屏蔽ip更换为ebpf xdp屏蔽ip，ebpf xdp在Linux更底层效率更高

================================================================
5月9日会更新2.0版本

添加对debian11+的支持驱动和二进制nginx文件
并且删除JavaScript验证时候的底部联系方式广告

Telegram群: @dfy888 有什么问题都可以来群里面交流

作者: 快乐快乐的 时间: 2023-5-8 00:52
支持一下大佬的作品

作者: 御坂 时间: 2023-5-8 00:53
强的直接改nginx？

作者: xoia 时间: 2023-5-8 00:54
支持一下大佬的作品

作者: 机长 时间: 2023-5-8 01:02
大屌不愧是大屌

作者: bios12567496 时间: 2023-5-8 01:51
大屌

作者: 谷歌浏览器 时间: 2023-5-8 01:55
大屌

作者: domin 时间: 2023-5-8 02:04
不错。看看能不能再弄个自动开启/关闭防御功能。

作者: acpp 时间: 2023-5-8 03:24
只有二进制文件？

作者: gzlock 时间: 2023-5-8 03:34

acpp 发表于 2023-5-8 03:24
只有二进制文件？

高情商：楼主的劳动成果为什么要给mjj白**啊
低情商：里面会不会有加料啊

作者: snoywing 时间: 2023-5-8 05:32
本帖最后由 snoywing 于 2023-5-8 05:34 编辑

感谢楼主分享，提个建议，这样搞扩展性会被限制，版本也会限制，你的想法是ipset 一个hash，把识别到攻击的ip加入hash，所有在这个hash列表的被iptables限制。不如把识别的这个工作交给lua。这样各个版本都能支持，或者直接换caddy，用go写个扩展。

作者: Smilence 时间: 2023-5-8 06:56
还主打C7?

作者: 泡泡的碎片 时间: 2023-5-8 08:28

snoywing 发表于 2023-5-8 05:32
感谢楼主分享，提个建议，这样搞扩展性会被限制，版本也会限制，你的想法是ipset 一个hash，把识别到攻击的 ...

大佬秒言果真眼前一亮

作者: 泡泡的碎片 时间: 2023-5-8 08:29
大屌威武厉害了

作者: 120565167 时间: 2023-5-8 08:48
大佬麻烦更新一下Debian，感谢

作者: C大屌 时间: 2023-5-8 09:04

snoywing 发表于 2023-5-8 05:32
感谢楼主分享，提个建议，这样搞扩展性会被限制，版本也会限制，你的想法是ipset 一个hash，把识别到攻击的 ...

这个二进制文件里面已经包含了一个C语言开发的waf cc识别功能了，所以lua和go扩展是多此一举，况且lua的性能永远都比原生C语言写的执行效率差这就是我不用lua的缘故

作者: snoywing 时间: 2023-5-8 09:22
本帖最后由 snoywing 于 2023-5-8 09:35 编辑

C大屌发表于 2023-5-8 09:04
这个二进制文件里面已经包含了一个C语言开发的waf cc识别功能了，所以lua和go扩展是多此一举，况且lua的 ...

很支持你去多做尝试并且创新，这只是我的个人建议哈
效率是一方面，现在大多数的机器都是效率过剩的，但是如果你放在nginx里面你的扩展性会受到极大的限制，这就是为什么现在的WAF都不这么搞，而且cc的脚本多采用读取日志的形式，因为产品需要足够多的样本，来确保它起到了足够的作用，而且现在的项目多为容器部署，waf只是第一代防御技术，容器兴起后，云原生的防御方法，发生了变化，Devsecops, RASP，waf已偏向于融合应用，如果只是C会限制死你的应用场景，你的产品你考虑把，我只是给建议。另外caddy是go写的，所以caddy用go是一体的。

作者: 王友元同学 时间: 2023-5-8 09:31
mark，膜拜大佬。看完后又想买母鸡试试了

作者: acpp 时间: 2023-5-8 14:23

gzlock 发表于 2023-5-8 03:34
高情商：楼主的劳动成果为什么要给mjj白**啊
低情商：里面会不会有加料啊 ...

主要是这个github号新注册，但结合论坛号历史帖子又不好判断。等待有缘人测试吧。

作者: xoia 时间: 2023-5-8 17:35

xoia 发表于 2023-5-8 00:54
支持一下大佬的作品

说实话我这个签名我也傻了

作者: SK_ 时间: 2023-5-8 19:05
最近用了一个tg机器人，哪怕cf开了5秒盾都直接穿，各种ua，几千个ip，还随机目录参数。

作者: C大屌 时间: 2023-5-9 00:06

120565167 发表于 2023-5-8 08:48
大佬麻烦更新一下Debian，感谢

今天会发布对debian11+的驱动支持和删除cc防御验证时候的底部广告

作者: 君柯 时间: 2023-5-9 01:29

SK_ 发表于 2023-5-8 19:05
最近用了一个tg机器人，哪怕cf开了5秒盾都直接穿，各种ua，几千个ip，还随机目录参数。 ...

我不信PM看看

作者: 奧巴马 时间: 2023-5-9 01:32

SK_ 发表于 2023-5-8 19:05
最近用了一个tg机器人，哪怕cf开了5秒盾都直接穿，各种ua，几千个ip，还随机目录参数。 ...

pm我看下.是不是真这么牛?

作者: NVMe 时间: 2023-5-9 01:52
马克一下，楼主比C吊还大支

作者: 嘉树 时间: 2023-5-9 02:08

SK_ 发表于 2023-5-8 19:05
最近用了一个tg机器人，哪怕cf开了5秒盾都直接穿，各种ua，几千个ip，还随机目录参数。 ...

我也不信，你pm给我看看

作者: yrj 时间: 2023-5-9 08:07

snoywing 发表于 2023-5-8 09:22
很支持你去多做尝试并且创新，这只是我的个人建议哈
效率是一方面，现在大多数的机器都是效率过剩的，但 ...

楼主应该是性能的极致追求者，可以理解的

作者: ytuu 时间: 2023-5-9 08:19
任何利用开源做项目而闭源的一律按流氓对待坚决不用

作者: 王友元同学 时间: 2023-5-9 08:44

SK_ 发表于 2023-5-8 19:05
最近用了一个tg机器人，哪怕cf开了5秒盾都直接穿，各种ua，几千个ip，还随机目录参数。 ...

pm我试试

作者: motao 时间: 2023-5-9 08:47
来自domin的肯定

作者: diocat 时间: 2023-5-9 08:49
/*
* Copyright (C) 2002-2021 Igor Sysoev
* Copyright (C) 2011-2023 Nginx, Inc.
* All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
* notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
* notice, this list of conditions and the following disclaimer in the
* documentation and/or other materials provided with the distribution.
*
* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
* ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
* SUCH DAMAGE.
*/

作者: DearJohn 时间: 2023-5-9 09:11
大佬NB啊

作者: 燕十三丶 时间: 2023-5-9 09:37

SK_ 发表于 2023-5-8 19:05
最近用了一个tg机器人，哪怕cf开了5秒盾都直接穿，各种ua，几千个ip，还随机目录参数。 ...

兄弟我不信 PM机器人我试试

作者: zby 时间: 2023-5-9 11:04
这签名也太吊了

作者: SK_ 时间: 2023-5-9 11:17

君柯发表于 2023-5-9 01:29
我不信PM看看

@opcl7_bot 之前签到就给10积分，可以免费测，但是现在不行了，只给1积分。cf开了5秒盾还是打的进来，我看了攻击日志五花八门，不过如果会分析日志写规则的话还是可以挡住。

作者: SK_ 时间: 2023-5-9 11:18

燕十三丶发表于 2023-5-9 09:37
兄弟我不信 PM机器人我试试

作者: SK_ 时间: 2023-5-9 11:19

王友元同学发表于 2023-5-9 08:44
pm我试试

作者: SK_ 时间: 2023-5-9 11:20

嘉树发表于 2023-5-9 02:08
我也不信，你pm给我看看

@opcl7_bot 之前签到就给10积分，可以免费测，但是现在不行了，只给1积分。cf开了5秒盾还是打的进来，我看了攻击日志五花八门，不过如果会分析日志写规则的话还是可以挡住。

@奧巴马

作者: shenyina 时间: 2023-5-9 18:46
9号都快过去了,咋还没更新2.0

欢迎光临全球主机交流论坛 (https://loc.888543.xyz/)