如何禁止用瀏覽器訪問TCP協(xié)議的IP地址和端口

追夢(mèng)隨想 2023-12-21

問題描述

最近在做物聯(lián)網(wǎng)項(xiàng)目，TCP協(xié)議是給設(shè)備訪問的，也綁定了域名，但是最近查看日志發(fā)現(xiàn)有一些國(guó)外的IP通過掃描端口進(jìn)行攻擊，其中也有通過http的方式訪問，國(guó)內(nèi)的IP也有，國(guó)外的IP可以一封了之，那國(guó)內(nèi)的就沒辦法了，雖然做了數(shù)據(jù)驗(yàn)證，但覺得不夠完美，請(qǐng)問有沒有什么辦法禁止通過http協(xié)議訪問呢

message：
GET http://47.*.*.*:666/ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Accept-Encoding: gzip, x-gzip, deflate
Host: 47.*.*.*:666

上面是接收到的消息內(nèi)容，端口666是為了保密隨便輸?shù)?/p>

 984  1 1

1個(gè)回答

chaz6chez 2023-12-21

一般情況，沒辦法完全避免；你是使用了基于TCP的自定義協(xié)議，只要不滿足協(xié)議規(guī)范就拋棄就好了，也沒有太大的問題。

通常來(lái)說不滿足協(xié)議規(guī)范的請(qǐng)求只需要做一個(gè)請(qǐng)求計(jì)數(shù)，滿足協(xié)議規(guī)范的請(qǐng)求做請(qǐng)求日志，也不會(huì)有太大壓力；

比較完善的方案就是基于請(qǐng)求計(jì)數(shù)，自動(dòng)化封禁對(duì)應(yīng)ip，比如某個(gè)ip請(qǐng)求了3次，那么就封禁一段時(shí)間，計(jì)數(shù)清零。

追夢(mèng)隨想 2023-12-21

感謝解答，這些家伙都雞賊的很，一個(gè)IP就訪問那么一兩次，然后隔天再來(lái)，目前是沒辦法應(yīng)對(duì)了
chaz6chez 2023-12-21

這種請(qǐng)求對(duì)你的系統(tǒng)來(lái)說沒有危害，其實(shí)可以忽略，自動(dòng)化處理主要是預(yù)防危險(xiǎn)請(qǐng)求或者破壞性請(qǐng)求
tomlibao 2023-12-21

想請(qǐng)教下樓上兩位佬，tcp協(xié)議并且綁定域名，客戶端那邊是不是不能通過瀏覽器訪問地址直接訪問。比如樓主說的，是給設(shè)備訪問的，設(shè)備那邊是不是也是通過tcp的一個(gè)客戶端服務(wù)來(lái)訪問的？
追夢(mèng)隨想 2023-12-21

是的，單獨(dú)處理，TCP也是訪問域名，定制一個(gè)消息格式用于過濾非法請(qǐng)求，我是給客戶端和設(shè)備開了兩個(gè)不同的gateway各搞各的，而且客戶端上報(bào)、設(shè)備上報(bào)、系統(tǒng)下發(fā)指令給設(shè)備、下發(fā)數(shù)據(jù)給客戶端，都是不同的格式，再加上客戶端和設(shè)備的驗(yàn)證，非法請(qǐng)求也就是惡心一下，基本很難攻破，長(zhǎng)期騷擾就封他
tomlibao 2023-12-21

噢噢噢，我平時(shí)用的都是 websocket 的協(xié)議，不太了解 tcp 的。其實(shí)就是兩個(gè) tcp 協(xié)議的 gatewayworker 服務(wù)之間的通信是吧。
追夢(mèng)隨想 2023-12-21

不是啊，TCP是給設(shè)備用的，websocket是給客戶端用的（小程序、app、網(wǎng)頁(yè)）我是這么做的，當(dāng)然現(xiàn)在微信小程序好像也可以直接用TCP