ngx_waf icon indicating copy to clipboard operation
ngx_waf copied to clipboard
verified publisher icon ADD-SP

是否考虑支持针对恶意攻击行为IP的自动封禁

Open timeLikeSong opened this issue 1 year ago • 3 comments

如果一个IP长期针对服务器进行恶意扫描检测、攻击等行为,考虑自动封禁此IP地址。也可以归纳为大量4xx 响应。

timeLikeSong avatar Aug 11 '24 07:08 timeLikeSong

这个需求比较模糊,可能需要更明确的封禁触发逻辑,比如:

  • 定义何为恶意扫描和攻击。
  • 定义什么是长期。
  • 定义自动封禁的时长,以及对应网段是否一同封禁。

ADD-SP avatar Aug 25 '24 11:08 ADD-SP

这个需求比较模糊,可能需要更明确的封禁触发逻辑,比如:

  • 定义何为恶意扫描和攻击。
  • 定义什么是长期。
  • 定义自动封禁的时长,以及对应网段是否一同封禁。

比如很多爬虫喜欢扫描目录和.php,这种有枣没枣打一杆子的行为非常讨厌,日志里全是404响应。 自动封禁措施就是比如1h内遭到同一ip超过5次404的访问,就封他ip 72小时。

John10240 avatar May 30 '25 07:05 John10240

这个需求比较模糊,可能需要更明确的封禁触发逻辑,比如:

  • 定义何为恶意扫描和攻击。
  • 定义什么是长期。
  • 定义自动封禁的时长,以及对应网段是否一同封禁。

比如很多爬虫喜欢扫描目录和.php,这种有枣没枣打一杆子的行为非常讨厌,日志里全是404响应。 自动封禁措施就是比如1h内遭到同一ip超过5次404的访问,就封他ip 72小时。

这类逻辑比较灵活,有点像是定制功能,每个人的需求都可能有些许不同,感觉难以用简单的功能覆盖这类逻辑。

ADD-SP avatar Jun 03 '25 14:06 ADD-SP