vps交流

问一下大家,是如何防止http的爆破的?


本帖最后由 cobra1 于 2022-1-15 02:51 编辑

ssh登录可以用fail2ban或者密钥登录,但是防止http爆破有没有什么好的办法?
因为要内网穿透nas一些web应用访问,而这些应用的固件编译一般都是用的弱口令,感觉暴露在公网上太不安全了。

而且我还是用frp来内网穿透,如果是反代的话,倒是可以通过nginx配置来设置ip白名单,然后我挂代理访问。(哦,都想到这里了我应该想到iptables的端口白名单的问一下大家,是如何防止http的爆破的?

验证码啊,多大点事

HOH 发表于 2022-1-15 02:16
验证码啊,多大点事

注意审题啊水王,又不是自己开发应用….

HOH 发表于 2022-1-15 02:16
验证码啊,多大点事

而且验证码对爆破的防御还不如用个强密码,简单的图片验证码可以保持相同session重放包或者直接上ocr的库,破解起来也是很简单的。虽然爆破也是一些爬虫全网扫描,一般不会有这种破解的模块

cobra1 发表于 2022-1-15 02:20
而且验证码对爆破的防御还不如用个强密码,简单的图片验证码可以保持相同session重放包或者直接上ocr的库 …

比如luci开源的,自己加一个文字型的验证码就完事了,这种DIY的一般人家也不会去为了你去适配的

HOH 发表于 2022-1-15 02:22
比如luci开源的,自己加一个文字型的验证码就完事了,这种DIY的一般人家也不会去为了你去适配的 …

虽然写个验证码验证很简单,但是集成到固件的源码里面也太杀鸡用牛刀了吧。有这功夫我不如找一下配置文件改个强密码或者自己去编译一个固件。。。主要是想要现成的解决方案,最好是在公网服务器端再做层验证的那种

我是ipv6粉
凡是我不想让人知道的东西都是ipv6,有种你来扫
别说用户名密码,你能找到这个ip都算你强

sdqu 发表于 2022-1-15 02:31
我是ipv6粉
凡是我不想让人知道的东西都是ipv6,有种你来扫
别说用户名密码,你能找到这个ip都算你强

……是个好思路

http只listen localhost
然后走ssh或者其他隧道
不用默认的路径就可以了