如何防止 Web 应用程序中的密码暴力破解?

如何防止 Web 应用程序中的密码暴力破解?

我有 php web 应用程序 (nginx+php-fpm)。有人试图暴力破解密码。他有很多 IP。这些暴力破解也像 DDOS 一样工作,因为每次 web 应用程序启动并尝试处理请求。并且fail2ban会在多次之后禁止 IP maxretry。但我有数千个请求,每个请求都是由不同的 IP 发送的。如何在没有启动 web 应用程序的情况下阻止第一个 POST 请求登录操作?因为普通用户无法首先将他的请求作为 POST 请求发送。

答案1

您正遭受僵尸网络的攻击。

这是针对您的 nginx Web 应用的特定解决方案

HttpLimitReq模块

一般来说,您需要遵循以下步骤:

-对于特定的受到攻击的帐户,为其提供仅允许从特定 IP 地址登录的选项。

-为用户块分配唯一的登录 URL,以便不是所有用户都能从同一 URL 访问网站。

-使用 CAPTCHA 来防止自动攻击。

相关内容