写了一个驱动级nginx cc防火墙，以实现javascript验证网络层封ip

C大屌

项目地址是https://github.com/dafeiyun/dafeiyun_nginx_firewall

基于nginx1.22制作，已经魔改了nginx核心源代码，可以让nginx实现JavaScript验证cc防御，并且还能自动执行iptables命令在网络层封ip和驱动级终止tcp连接

实测物理服务器E3-1230V2 100M下行宽带可以实现无视CC效果！

支持http和https防御 可以自动解密https ssl证书防御。

后续将会把iptables屏蔽ip更换为ebpf xdp屏蔽ip，ebpf xdp在Linux更底层 效率更高

================================================================
5月9日会更新2.0版本

添加对debian11+的支持驱动和二进制nginx文件
并且删除JavaScript验证时候的底部联系方式广告


Telegram群: @dfy888  有什么问题都可以来群里面交流

ytuu

任何利用开源做项目而闭源的 一律按流氓对待 坚决不用

domin

不错。看看能不能再弄个自动开启/关闭防御功能。

snoywing

C大屌 发表于 2023-5-8 09:04
这个二进制文件里面已经包含了一个C语言开发的waf cc识别功能了，所以lua和go扩展是多此一举，况且lua的 ...

很支持你去多做尝试并且创新，这只是我的个人建议哈
效率是一方面，现在大多数的机器都是效率过剩的，但是如果你放在nginx里面你的扩展性会受到极大的限制，这就是为什么现在的WAF都不这么搞，而且cc的脚本多采用读取日志的形式，因为产品需要足够多的样本，来确保它起到了足够的作用，而且现在的项目多为容器部署，waf只是第一代防御技术，容器兴起后，云原生的防御方法，发生了变化，Devsecops, RASP，waf已偏向于融合应用，如果只是C会限制死你的应用场景，你的产品你考虑把，我只是给建议。另外caddy是go写的，所以caddy用go是一体的。

xoia

支持一下大佬的作品

diocat

/*
* Copyright (C) 2002-2021 Igor Sysoev
* Copyright (C) 2011-2023 Nginx, Inc.
* All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
*    notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
*    notice, this list of conditions and the following disclaimer in the
*    documentation and/or other materials provided with the distribution.
*
* THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
* ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
* SUCH DAMAGE.
*/

SK_

最近用了一个tg机器人，哪怕cf开了5秒盾都直接穿，各种ua，几千个ip，还随机目录参数。

泡泡的碎片

snoywing 发表于 2023-5-8 05:32
感谢楼主分享，提个建议，这样搞扩展性会被限制，版本也会限制，你的想法是ipset 一个hash，把识别到攻击的 ...

大佬秒言果真眼前一亮

快乐快乐的

支持一下大佬的作品

御坂

强的 直接改nginx？

机长

大屌不愧是大屌

bios12567496

大屌

谷歌浏览器

大屌

acpp

只有二进制文件？

gzlock

acpp 发表于 2023-5-8 03:24
只有二进制文件？

高情商：楼主的劳动成果为什么要给mjj白**啊
低情商：里面会不会有加料啊