写了一个驱动级nginx cc防火墙，以实现javascript验证网络层封ip

snoywing

感谢楼主分享，提个建议，这样搞扩展性会被限制，版本也会限制，你的想法是ipset 一个hash，把识别到攻击的ip加入hash，所有在这个hash列表的被iptables限制。不如把识别的这个工作交给lua。这样各个版本都能支持，或者直接换caddy，用go写个扩展。

Smilence

还主打C7?

泡泡的碎片

snoywing 发表于 2023-5-8 05:32
感谢楼主分享，提个建议，这样搞扩展性会被限制，版本也会限制，你的想法是ipset 一个hash，把识别到攻击的 ...

大佬秒言果真眼前一亮

泡泡的碎片

大屌威武 厉害了

120565167

大佬麻烦更新一下Debian，感谢

C大屌

snoywing 发表于 2023-5-8 05:32
感谢楼主分享，提个建议，这样搞扩展性会被限制，版本也会限制，你的想法是ipset 一个hash，把识别到攻击的 ...

这个二进制文件里面已经包含了一个C语言开发的waf cc识别功能了，所以lua和go扩展是多此一举，况且lua的性能永远都比原生C语言写的执行效率差 这就是我不用lua的缘故

snoywing

C大屌 发表于 2023-5-8 09:04
这个二进制文件里面已经包含了一个C语言开发的waf cc识别功能了，所以lua和go扩展是多此一举，况且lua的 ...

很支持你去多做尝试并且创新，这只是我的个人建议哈
效率是一方面，现在大多数的机器都是效率过剩的，但是如果你放在nginx里面你的扩展性会受到极大的限制，这就是为什么现在的WAF都不这么搞，而且cc的脚本多采用读取日志的形式，因为产品需要足够多的样本，来确保它起到了足够的作用，而且现在的项目多为容器部署，waf只是第一代防御技术，容器兴起后，云原生的防御方法，发生了变化，Devsecops, RASP，waf已偏向于融合应用，如果只是C会限制死你的应用场景，你的产品你考虑把，我只是给建议。另外caddy是go写的，所以caddy用go是一体的。

王友元同学

mark，膜拜大佬。看完后又想买母鸡试试了

acpp

gzlock 发表于 2023-5-8 03:34
高情商：楼主的劳动成果为什么要给mjj白**啊
低情商：里面会不会有加料啊 ...

主要是这个github号新注册，但结合论坛号历史帖子又不好判断。等待有缘人测试吧。

xoia

xoia 发表于 2023-5-8 00:54
支持一下大佬的作品

说实话 我这个签名我也傻了