网站防黑

攻防策略

若是有人真D你的站点，你还真没有办法，固然我所说的群体是针对中小站长而言，你连DDOS基础防御的清洗阈值都达不到。

若是你只是一个默默无闻的小站，根本不须要想那么多。尽管如今DDOS成本很低，但谁不是无利不起早，除非你得罪了什么人。

固然对于通常的攻击咱们也不能坐以待毙，这里总结了几个小技巧，分享给你们，反向代理使用的是openresty。

Nginx优化

Nginx号称最大并发5W，实际上对于中小站点来讲几十或者上百个并发就不错了，最基本的参数就能够知足需求。可是为了安全期间，咱们最好隐藏其版本号。

# 隐藏版本，防止已知漏洞被利用 server_tokens off; #在http 模块当中配置

PHP优化

在php渲染的网页header信息中，会包含php的版本号信息，好比: X-Powered-by: php/5.6.30，这有些不安全，有些黑客可能采用扫描的方式，批量寻找低版本的php服务器，利用php漏洞(好比hash冲突)来攻击服务器。

# 隐藏版本，防止已知漏洞被利用 php_admin_flag[expose_php] = off

IP黑名单

对付那种最low的攻击，加入黑名单的确是一个不错的选择，否则别人AB就能把你压死：

# 在Nginx的http模块添加如下配置便可 deny 61.136.197.xxx; # 禁封IP段 deny 61.136.197.0/24;

IP日访问次数

限制单个IP的日访问次数，正常来讲一个用户的访问深度不多超过10个，跳出率通常在50%-70%之间。其实咱们要作的把单个IP的日访问量控制在100甚至50之内便可。

限制并发数

光限制访问次数仍是不够的，攻击者可能瞬间涌入成百上千的请求，若是这些请求到后端服务，会打垮数据库服务的，因此咱们还要基于咱们自身网站访问状况设置并发数。

• 限制单个IP的并发数
• 限制总并发数

这里建议你们使用漏桶算法限流，来整形流量请求。

 

https://www.cnblogs.com/smallSevens/p/9221002.html