我看现在的 WAF 似乎是收费的,有什么建议规则,可以直接把请求屏蔽了吗,谢谢大家。 我这个 woker 绑定了自定义域名才几个小时就有人开始扫,他们都是怎么知道的,域名我都没有公开。
第 1 条附言 · 8 天前
我使用 cf 的 worker 是为了过墙的,多个 worker 业务只有接口调用。我也发现一个好方法,在“cf 面板-安全性-WAF”这里可以指定一下规则,加一个自定义请求头,如果没有直接 ban 了请求就行了。
楼下有位老哥说直接 ban ASN ,我这个业务也可以,但是上面说的操作够用了,所以我也就不多此一举了。
最近才接触 cloudflare ,我发现这个玩意简直是个人开发者的大福利。不仅方便,还不花钱!
在国内云服务器上调用一些被墙的服务实在是太方便了!
楼下有位老哥说直接 ban ASN ,我这个业务也可以,但是上面说的操作够用了,所以我也就不多此一举了。
最近才接触 cloudflare ,我发现这个玩意简直是个人开发者的大福利。不仅方便,还不花钱!
在国内云服务器上调用一些被墙的服务实在是太方便了!
第 2 条附言 · 8 天前
就是不知道,BAN 了之后,还会不会消耗请求数。
那些人也太不讲道德了,嗅探次数少一点,扫慢一点也没什么。他一天能把所有免费额度几乎都给打完,我是没想到的,太可恶了,不知道有没有反击手段!
那些人也太不讲道德了,嗅探次数少一点,扫慢一点也没什么。他一天能把所有免费额度几乎都给打完,我是没想到的,太可恶了,不知道有没有反击手段!
第 3 条附言 · 8 天前
用了规则防御后,那个嗅探的扫描频率已经非常低了,并且用规则防御成功后,并不消耗worker的请求,效果分非常好!
10 条回复 • 2025-04-30 10:07:48 +08:00
 |
1
richard1122 8 天前
自己的域名 + HTTPS 证书,应该是签发时候被 CA 报告给证书透明度列表了: https://en.wikipedia.org/wiki/Certificate_Transparency
|
 |
3
Xheldon 8 天前
扫就扫呗,这有什么,它这是扫公开漏洞,你服务做健壮点即可
我跟你一样的情况,但是我没有用任何框架,自己写的混淆参数和代码进行鉴权,累死他也扫不出来,只要不 ddos 就无所谓,你防不住的 |
 |
4
Belmode OP @richard1122 #1 原来如此,工作这么多年了,我对这块还真是不太了解。
@hbtech #2 这个服务是纯接口的,没有页面,用 5 秒盾直接给接口也阻断了。刚开始使用 cloudflare ,还不太熟悉它的功能和配置。 @Xheldon #3 频率太高了,都是从 UCloud 香港某个机房发出来的。它一天就能打 10W 请求,我这个是个代理业务,功能直接失效了 |
 |
5
sunfkny 8 天前
直接封掉整个 ASN ,AS135377 扫描的太多了
|
 |
7
xmumiffy 8 天前  1
点到 access 页面,worker 前面有 14 个不同的拦截器可以配置,页面规则 配置规则 ip 访问规则 速率限制都能用来配置
|
 |
10
4rb8dHHN1O5okrhL 6 天前
@Belmode 你好,楼主,这个 access 是 Zero Trust 里的 access 吗?能告诉下这个 access 的路径和是怎么设置的吗?谢谢。
|
Select Language