网站最近攻击防御心得，个人网站搭建心得

序言

我也是很头疼，我这个小破网站居然有人攻击。还特么的连续攻击。本来吧小网站我觉得就是自己写写博客，然后大家给我评论下。互帮互助，团结友爱。结果吧，我被教育了。挺惨痛的回忆。

然后就是个人站长的流量问题。

一、互联网站点要点

1、搜索引擎

这个很重要，就是，一定要服务端渲染。

没有别的原因，你的网站如果是面向搜索引擎的你必须是服务端渲染。不然是没法被很好的搜索，提升排名的。

我个人网站比较隐私，就没搞那些东西了。不过我下一次必须要尝试下服务端渲染，不然目前为止经验尚浅啊。

2、流量问题

这里说的流量问题和搜索之类没有什么关系，就是单纯的记住，别把图片放上去。太吃流量了。你只是个小破站，就别搞那么多了。

我为了图片访问速度和服务器资源节省，把图片放在了oss存储上面，但是我想说。还是很贵的。

3、钱（图片问题）

我给大家算一笔帐

目前服务器（1核1G1M）是aliyun的，三年300，很便宜是吧，但是这是搞特价，正常一年需要一千。

如果你的网站开发的时候优化做的还可以，那么首屏流量能控制在1M左右。这样其实很快。

但是主要是图片这块。你如果把图片放自己服务器，那么带宽就不能很低，不然卡死。

如果放oss，那么流量是按访问量计算的。具体好像是1G2毛，总之挺贵的。你要是图片很多，注意，随便页面切换，刷新单人就能给你刷走上百流量。人数稍微多点……，之前知道一个公司。半年，流量费用20万（主要用于视频监控）。

所以个人博主们，自己的小破站图片少放。

图片最好是做好防盗链。不然流量也会很痛苦。

二、防御机制举例

这里我先copy下阿里在eggjs方面的防御，主要大家就是遇到这些了。

• XSS 攻击：对 Web 页面注入脚本，使用 JavaScript 窃取用户信息，诱导用户操作。
• CSRF 攻击：伪造用户请求向网站发起恶意请求。
• 钓鱼攻击：利用网站的跳转链接或者图片制造钓鱼陷阱。
• HTTP参数污染：利用对参数格式验证的不完善，对服务器进行参数注入攻击。
• 远程代码执行：用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令。

我这次遇到的攻击是CSRF方面的攻击。

三、网站防御的过程

1、监控你的接口访问

后端：记录下每个接口每次调用的的记录。

前端：记录下每个路由的变化之后的访问记录

这两个是很简单的记录方式，但是能让你最直观的感受到，网站访问的量是多少。还有就是监控你的网站是否恶意调用接口，恶意访问等等。很直观，很用好。

本身我是没有增加该项功能的。但是经过惨痛教训之后，我痛定思痛。增加了对应的记录。

通过接口调用的分析，得出对方是软件刷新页面不断恶意给我发送评论

2、一轮交锋，限制每个ip的发送频率（失败）

这里我贴下我中间件的代码，上面的说实在没什么意义，随便写一下中间件，数据库记录下数据即可。很简单。

这里我增加了redis，如果用数据库性能不合适，并且不需要这么笨重。缓存比较不错。至于为什么不存在全局变量。这个我得和大家科普下，不管是nodejs还是java等后端。是存在多线程或者多进程的。那么一旦负载的时候，系统切换另一个进程，那么就访问不到数据了。

下面是限制访问的中间件代码。

'use strict';

module.exports = (options, app) => {
  return async function(ctx, next) {
    try {
      const ip = ctx.request.header['x-forwarded-for'];
      const req_url = ctx.request.url;
      // 得到最终url地址
      const url = req_url.indexOf('?') === -1 ?
        req_url :
        req_url.substring(0, req_url.indexOf('?'));
      // 存储当前接口访问信息，后续有统计
      ctx.service.interface.apiVisit.add({
        ip,
        url,
      });
      // 当前时间
      const time = new Date().getTime();
      // 获取这个用户该接口上次调用时间
      const usr_api = await app.redis.get(ip + url);
      // 拦截的接口
      const intercept_api = options.api[url];

      // 参数获取完毕，设置最新参数
      // 设置接口最新调用时间
      await app.redis.set(ip + url, new Date().getTime());
      if (intercept_api) {
        if (time - usr_api > 5000) {
          await next();
        } else {
          ctx.body = ctx.helper.result('', -1, '限制访问' + intercept_api / 1000 + '秒', 0);
        }
      } else {
        await next();
      }
    } catch (e) {
      ctx.logger.warn(e);
    }
  };
};

配置部分config.js

// 给'interfaceRestriction'传入参数
config.interfaceRestriction = {
  // api封禁
  api: {
    '/dream-admin/noauth/blog/discuss/add': 1000 * 8,
  },
  // ip封禁,
  ip: [
    // '127.0.0.1',
  ],
};

上面的ip封禁没有写。暂时用不到

功能还可以拓展，比如限制ip，限制某个接口的访问频率等等。

3、第二轮（增加验证码）交锋（胜利）

上面失败的主要原因在于，ip实际上是可以伪造的。而且ip伪造成本很低。所以，你通过ip来限制对方这种爬虫的恶意攻击效果并不好，这只能防止那些恶意灌水的人罢了。爬虫分分钟几十上百万给你攻击过来，效果不好。

后来我在想怎么才合适。

本身攻击属于csrf，但是通过csrf的方式来防御对方没有用。因为csrf本身是一种基于口令的方式。通过爬虫工具，很容易可以窃取你的口令。

最后我就想着实在没什么好办法就增加验证码了。

最后，用了 svg-captcha包。

下面是使用方式，比较简单：

controller代码：

const { ctx, app } = this;
try {
  // 生成算数验证码
  const verify = svgCaptcha.createMathExpr({
    size: 4,
    ignoreChars: '0o1i',
    noise: 5,
    color: true,
    background: '#7E7D78',
  });
  // 以ip为单位存储验证码
  const ip = ctx.request.header['x-forwarded-for'];
  await app.redis.set(ip, verify.text);
  ctx.response.type = 'image/svg+xml'; // 知道你个返回的类型
  ctx.body = verify.data;
} catch (e) {
  ctx.body = ctx.helper.result('', -1, e);
}

最后在创建评论的地方，增加验证即可。

四、总结

1、所有的一切都是为了增加对方破译的难度

2、不要对外开放创建数据的接口（万恶之源）

3、做好数据监控，防范于未然。并且让你能尽快的发现问题

4、如果你对外开放接口了，那么请做好防小人的准备。（验证码真的是一个好东西）

5、所有验证码不如手机验证码来的可靠。

其实最后下来还是比较老套的一些东西。只是吧，好不容易胜利了。得发发动态。