發(fā)現(xiàn)異常流量先別慌

前幾天朋友老李急匆匆找我，說他搭建的內(nèi)網(wǎng)穿透服務(wù)突然變慢，遠(yuǎn)程訪問家里的攝像頭卡得不行。查了日志才發(fā)現(xiàn)，有大量陌生IP在嘗試連接他的隧道端口。這種情況其實(shí)挺常見的，尤其是用frp、ngrok這類工具做網(wǎng)絡(luò)隧道的人。

立即斷開可疑連接

第一反應(yīng)不是修配置，而是切斷風(fēng)險(xiǎn)。直接登錄服務(wù)器執(zhí)行：

sudo netstat -antp | grep :7000

看看哪個(gè)進(jìn)程占著你的隧道端口。如果是不明連接，馬上用 kill 命令干掉對應(yīng) PID。別等它慢慢滲透，動作要快。

檢查并更新認(rèn)證機(jī)制

很多人圖省事，隧道密碼設(shè)成 123456 或者干脆沒設(shè)。攻擊者掃到就直接進(jìn)來。打開你的 frpc.ini 配置文件，確認(rèn)有沒有開啟 token 認(rèn)證：

[common]
server_addr = x.x.x.x
server_port = 7000
token = 你自己的復(fù)雜密鑰

這個(gè) token 別用常見單詞，最好混雜數(shù)字和符號，長度超過12位。

限制訪問來源IP

如果你只是自己用，完全可以用防火墻鎖死訪問范圍。比如只允許家里寬帶的公網(wǎng)IP連進(jìn)來。Ubuntu 上用 ufw 很方便：

sudo ufw allow from 112.80.248.1 to any port 7000

其他IP根本連不上端口，等于把門焊死了。

升級版本防已知漏洞

去年 frp 有個(gè)版本存在認(rèn)證繞過漏洞，不少還在用舊版的人中招了。去官網(wǎng)看看當(dāng)前最新版是多少，對比下自己裝的是不是落伍了。升級命令一般就是停服務(wù)、替換二進(jìn)制文件、重啟：

sudo systemctl stop frps
sudo cp frps_new /usr/local/bin/frps
sudo systemctl start frps

幾分鐘的事，但能堵住大坑。

開啟日志監(jiān)控別偷懶

攻擊往往有前兆。有人連續(xù)失敗登錄十幾次，說明在暴力破解。定期看一眼日志，或者寫個(gè)腳本自動報(bào)警：

grep 'login failed' /var/log/frps.log | wc -l

每天跑一次，數(shù)值猛增就該警惕了。也可以接上簡單的郵件提醒，花半小時(shí)配置，能省后續(xù)大麻煩。

老李后來按這些步驟走了一遍，清掉了兩個(gè)可疑會話，改了強(qiáng)密碼，再也沒被騷擾過。網(wǎng)絡(luò)隧道就像自家后院小門，不能因?yàn)槠綍r(shí)沒人來就忘了上鎖。