这是一个创建于 167 天前的主题,其中的信息可能已经有所发展或是发生改变。
我看现在的 WAF 似乎是收费的,有什么建议规则,可以直接把请求屏蔽了吗,谢谢大家。 我这个 woker 绑定了自定义域名才几个小时就有人开始扫,他们都是怎么知道的,域名我都没有公开。
第 1 条附言 167 天前
我使用 cf 的 worker 是为了过墙的,多个 worker 业务只有接口调用。我也发现一个好方法,在“cf 面板-安全性-WAF”这里可以指定一下规则,加一个自定义请求头,如果没有直接 ban 了请求就行了。
楼下有位老哥说直接 ban ASN ,我这个业务也可以,但是上面说的操作够用了,所以我也就不多此一举了。
最近才接触 cloudflare ,我发现这个玩意简直是个人开发者的大福利。不仅方便,还不花钱!
在国内云服务器上调用一些被墙的服务实在是太方便了!
楼下有位老哥说直接 ban ASN ,我这个业务也可以,但是上面说的操作够用了,所以我也就不多此一举了。
最近才接触 cloudflare ,我发现这个玩意简直是个人开发者的大福利。不仅方便,还不花钱!
在国内云服务器上调用一些被墙的服务实在是太方便了!
第 2 条附言 166 天前
就是不知道,BAN 了之后,还会不会消耗请求数。
那些人也太不讲道德了,嗅探次数少一点,扫慢一点也没什么。他一天能把所有免费额度几乎都给打完,我是没想到的,太可恶了,不知道有没有反击手段!
那些人也太不讲道德了,嗅探次数少一点,扫慢一点也没什么。他一天能把所有免费额度几乎都给打完,我是没想到的,太可恶了,不知道有没有反击手段!
第 3 条附言 166 天前
用了规则防御后,那个嗅探的扫描频率已经非常低了,并且用规则防御成功后,并不消耗worker的请求,效果分非常好! 
12 条回复 2025-05-13 09:49:52 +08:00
 | 1 richard1122 167 天前 自己的域名 + HTTPS 证书,应该是签发时候被 CA 报告给证书透明度列表了: https://en.wikipedia.org/wiki/Certificate_Transparency |
 | 3 Xheldon 167 天前 扫就扫呗,这有什么,它这是扫公开漏洞,你服务做健壮点即可 我跟你一样的情况,但是我没有用任何框架,自己写的混淆参数和代码进行鉴权,累死他也扫不出来,只要不 ddos 就无所谓,你防不住的 |
 | 4 Belmode OP @richard1122 #1 原来如此,工作这么多年了,我对这块还真是不太了解。 @hbtech #2 这个服务是纯接口的,没有页面,用 5 秒盾直接给接口也阻断了。刚开始使用 cloudflare ,还不太熟悉它的功能和配置。 @Xheldon #3 频率太高了,都是从 UCloud 香港某个机房发出来的。它一天就能打 10W 请求,我这个是个代理业务,功能直接失效了 |
 | 5 sunfkny 167 天前 直接封掉整个 ASN ,AS135377 扫描的太多了 |
 | 7 106npo 167 天前  1 点到 access 页面,worker 前面有 14 个不同的拦截器可以配置,页面规则 配置规则 ip 访问规则 速率限制都能用来配置 |
 | 10 4rb8dHHN1O5okrhL 164 天前 @Belmode 你好,楼主,这个 access 是 Zero Trust 里的 access 吗?能告诉下这个 access 的路径和是怎么设置的吗?谢谢。 |
| 11 Belmode OP @4rb8dHHN1O5okrhL #10 不是“零信任”,是 账户主页-域名-右侧域名列表的域-安全性-WAF 。 |
| 12 4rb8dHHN1O5okrhL 151 天前 @Belmode 谢谢楼主,我研究下。 |
Select Language