发现异常流量先别慌
前几天朋友老李急匆匆找我,说他搭建的内网穿透服务突然变慢,远程访问家里的摄像头卡得不行。查了日志才发现,有大量陌生IP在尝试连接他的隧道端口。这种情况其实挺常见的,尤其是用frp、ngrok这类工具做网络隧道的人。
立即断开可疑连接
第一反应不是修配置,而是切断风险。直接登录服务器执行:
sudo netstat -antp | grep :7000看看哪个进程占着你的隧道端口。如果是不明连接,马上用 kill 命令干掉对应 PID。别等它慢慢渗透,动作要快。
检查并更新认证机制
很多人图省事,隧道密码设成 123456 或者干脆没设。攻击者扫到就直接进来。打开你的 frpc.ini 配置文件,确认有没有开启 token 认证:
[common]
server_addr = x.x.x.x
server_port = 7000
token = 你自己的复杂密钥这个 token 别用常见单词,最好混杂数字和符号,长度超过12位。
限制访问来源IP
如果你只是自己用,完全可以用防火墙锁死访问范围。比如只允许家里宽带的公网IP连进来。Ubuntu 上用 ufw 很方便:
sudo ufw allow from 112.80.248.1 to any port 7000其他IP根本连不上端口,等于把门焊死了。
升级版本防已知漏洞
去年 frp 有个版本存在认证绕过漏洞,不少还在用旧版的人中招了。去官网看看当前最新版是多少,对比下自己装的是不是落伍了。升级命令一般就是停服务、替换二进制文件、重启:
sudo systemctl stop frps
sudo cp frps_new /usr/local/bin/frps
sudo systemctl start frps几分钟的事,但能堵住大坑。
开启日志监控别偷懒
攻击往往有前兆。有人连续失败登录十几次,说明在暴力破解。定期看一眼日志,或者写个脚本自动报警:
grep 'login failed' /var/log/frps.log | wc -l每天跑一次,数值猛增就该警惕了。也可以接上简单的邮件提醒,花半小时配置,能省后续大麻烦。
老李后来按这些步骤走了一遍,清掉了两个可疑会话,改了强密码,再也没被骚扰过。网络隧道就像自家后院小门,不能因为平时没人来就忘了上锁。