全球主机交流论坛

标题: 问一下大家，是如何防止http的爆破的？ [打印本页]

作者: cobra1 时间: 2022-1-15 02:16
标题: 问一下大家，是如何防止http的爆破的？
本帖最后由 cobra1 于 2022-1-15 02:51 编辑

ssh登录可以用fail2ban或者密钥登录，但是防止http爆破有没有什么好的办法？
因为要内网穿透nas一些web应用访问，而这些应用的固件编译一般都是用的弱口令，感觉暴露在公网上太不安全了。

而且我还是用frp来内网穿透，如果是反代的话，倒是可以通过nginx配置来设置ip白名单，然后我挂代理访问。（哦，都想到这里了我应该想到iptables的端口白名单的

）

作者: HOH 时间: 2022-1-15 02:16
验证码啊，多大点事

作者: cobra1 时间: 2022-1-15 02:17

HOH 发表于 2022-1-15 02:16
验证码啊，多大点事

注意审题啊水王，又不是自己开发应用....

作者: cobra1 时间: 2022-1-15 02:20

HOH 发表于 2022-1-15 02:16
验证码啊，多大点事

而且验证码对爆破的防御还不如用个强密码，简单的图片验证码可以保持相同session重放包或者直接上ocr的库，破解起来也是很简单的。虽然爆破也是一些爬虫全网扫描，一般不会有这种破解的模块

作者: HOH 时间: 2022-1-15 02:22

cobra1 发表于 2022-1-15 02:20
而且验证码对爆破的防御还不如用个强密码，简单的图片验证码可以保持相同session重放包或者直接上ocr的库 ...

比如luci开源的，自己加一个文字型的验证码就完事了，这种DIY的一般人家也不会去为了你去适配的

作者: cobra1 时间: 2022-1-15 02:27

HOH 发表于 2022-1-15 02:22
比如luci开源的，自己加一个文字型的验证码就完事了，这种DIY的一般人家也不会去为了你去适配的 ...

虽然写个验证码验证很简单，但是集成到固件的源码里面也太杀鸡用牛刀了吧。有这功夫我不如找一下配置文件改个强密码或者自己去编译一个固件。。。主要是想要现成的解决方案，最好是在公网服务器端再做层验证的那种

作者: sdqu 时间: 2022-1-15 02:31
我是ipv6粉
凡是我不想让人知道的东西都是ipv6，有种你来扫
别说用户名密码，你能找到这个ip都算你强

作者: cobra1 时间: 2022-1-15 02:32

sdqu 发表于 2022-1-15 02:31
我是ipv6粉
凡是我不想让人知道的东西都是ipv6，有种你来扫
别说用户名密码，你能找到这个ip都算你强

......是个好思路

作者: konololi 时间: 2022-1-15 02:35
http只listen localhost
然后走ssh或者其他隧道

作者: acpp 时间: 2022-1-15 02:45
不用默认的路径就可以了

作者: whiler 时间: 2022-1-15 02:51
业界一般采用 SD-LAN 方案来保护内网服务，全套的 Cisco SD-LAN 解决方案大概 40 万美元

作者: cobra1 时间: 2022-1-15 02:55

whiler 发表于 2022-1-15 02:51
业界一般采用 SD-LAN 方案来保护内网服务，全套的 Cisco SD-LAN 解决方案大概 40 万美元 ...

打扰了，但凡有一个mjj用这个项目来保护自己的web服务算我输

作者: HOH 时间: 2022-1-15 02:56

cobra1 发表于 2022-1-15 02:27
虽然写个验证码验证很简单，但是集成到固件的源码里面也太杀鸡用牛刀了吧。有这功夫我不如找一下配置文件 ...

这不行那不行就反代上basic auth吧

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)