摘要：# 对付CC攻击，别再手动封IP了，试试这个“自动门卫” 最近有个做电商的朋友半夜给我打电话，语气都快哭了：“网站又被搞了，后台卡得一笔，我手动封了二十几个IP，封一个又来一个，根本封不完。” 我问他：“你还在手动封IP？” 他愣了一下：“不然呢？防…

对付CC攻击，别再手动封IP了，试试这个“自动门卫”

最近有个做电商的朋友半夜给我打电话，语气都快哭了：“网站又被搞了，后台卡得一笔，我手动封了二十几个IP，封一个又来一个，根本封不完。”

我问他：“你还在手动封IP？”

他愣了一下：“不然呢？防火墙规则我不会配啊。”

这场景你应该不陌生吧？很多中小站点面对CC攻击，第一反应就是去服务器日志里扒拉IP，然后一条条往防火墙里加。说实话，这法子对付个把捣乱的还行，真遇到有组织的CC攻击——人家可能同时用几百个IP轮流上来踩你——你手动封到天亮都封不完。

说白了，这就是典型的“战术勤奋，战略懒惰”。今天我就聊一个实战中特别好用的工具：Fail2ban。它不是什么高大上的商业方案，就是个开源的“自动门卫”，但用好了，能帮你省下至少80%的手动封禁工作量。

一、Fail2ban是个啥？说白了就是个“看门大爷”

先打个比方。

你的服务器就像个小区，CC攻击就是一群发小广告的，不停按你家门铃（发送请求）。传统防火墙是小区大门保安，但保安只管进不进门，不管进门后干啥。Fail2ban呢？它更像是在小区里巡逻的看门大爷。

大爷手里拿着个本子（日志文件），整天在小区里转悠。他有个规矩：同一个陌生面孔，如果在短时间内按了太多次门铃（比如1分钟内尝试访问某个页面50次），大爷就认定这人不是正经访客，直接记下他的长相（IP地址），然后打电话给保安（防火墙）：“这人拉黑，别让他进了。”

而且这个“拉黑”是有时效性的。比如大爷觉得这人可能只是手欠，就封他10分钟；如果屡教不改，就封他24小时甚至永久。这个逻辑，是不是比一刀切的防火墙灵活多了？

我自己给不少小企业部署过这玩意儿，成本几乎为零（开源免费），效果立竿见影。很多所谓“智能防护”方案，PPT吹得天花乱坠，真遇到大规模CC攻击，第一个崩的就是它们复杂的规则引擎。Fail2ban反而因为逻辑简单粗暴，经常能扛住第一波。

二、实战配置：别被配置文件吓到，核心就三块

我知道，一提到“配置”，很多人就头大。网上的教程动不动就贴几十行配置文件，看着就劝退。其实Fail2ban的核心配置，你抓住三个关键点就行，我用人话给你翻译一下：

1. 告诉大爷看哪本“巡逻记录”（filter） Fail2ban得知道去哪里看“谁在按门铃”。对Web服务器来说，这本记录通常就是Nginx或Apache的访问日志（access log）。你需要写个简单的“过滤规则”，告诉它：“大爷，你去/var/log/nginx/access.log这个本子上看，凡是看到‘HTTP 200’状态码（表示请求成功）在短时间内出现太多次的IP，就记下来。”

比如，你可以定义：2分钟内，同一个IP对同一个URL请求了超过100次，就算异常。 这个阈值你可以根据自己网站的实际情况调，静态页面可以设高点，登录接口就必须设得很低（比如10次）。

2. 告诉大爷抓到坏人后怎么办（action） 光记下来没用，得采取行动。最简单的行动就是调用系统的防火墙（比如iptables或firewalld）把这个IP给禁了。Fail2ban内置了这些动作，你基本上不用自己写，选一个就行。

3. 设定关禁闭的时间（ban time） 这是我最喜欢Fail2ban的一点——灵活。你可以设置阶梯式惩罚：

• 第一次违规：封10分钟，小惩大诫。
• 第二次违规：封1小时，让你长长记性。
• 第三次违规：封24小时，甚至永久。

这种设计很人性化，避免了误杀正常用户（比如有人开了代理或者公司出口IP统一）。万一误封了，等一会儿也就解了。

（这里插一句私货：有些商业WAF一封就是24小时起步，投诉工单能把你烦死，Fail2ban这种渐进式封禁其实更合理。）

三、一个真实案例：从“手忙脚乱”到“喝茶看戏”

我去年帮一个在线教育平台处理过这么个事。他们有个公开的课程试听页面，突然有一天访问巨慢。一查日志，好家伙，同一个IP段（123.xxx.xxx.xxx）的上百个地址，在以每秒几十次的速度疯狂请求那个试听页面的MP4文件。

他们技术当时慌了，想上高防CDN，但预算和流程都来不及。我临时上去，花了大概二十分钟，给他们配了一套Fail2ban规则，核心就一条：

# 在5秒内，请求同一个视频文件超过3次，直接封IP 600秒（10分钟）
maxretry = 3
findtime = 5
bantime = 600

规则生效后，监控图上的异常请求曲线像坐滑梯一样掉下来。攻击者可能发现IP被封得很快，成本太高，折腾了半小时就消停了。平台的技术负责人后来跟我说：“感觉就像请了个不知疲倦的保安，我本来都准备通宵了，结果去泡了杯茶，回来发现没事了。”

当然，这不是说Fail2ban万能。它主要对付的是那种行为模式简单、重复的CC攻击。如果攻击者用非常低频率、模拟真人行为的“慢速CC”，或者IP池极大，Fail2ban单机就可能有点吃力。但话说回来，那种高级攻击，本来也不是小打小闹的工具能防住的，得上升到一个综合防护体系了。

四、Fail2ban的“软肋”和进阶玩法

用了Fail2ban就高枕无忧了？当然不是。你得清楚它的边界在哪。

软肋1：依赖本地日志。 如果攻击流量大到把你的磁盘I/O或者日志服务都打满了，Fail2ban可能就“瞎”了。所以日志监控和服务器基础性能保障是前提。

软肋2：单点防御。 Fail2ban装在哪台服务器，就只能保护哪台。如果人家攻击的是你的数据库服务器或者缓存服务器，你得分别去装、去配置。分布式部署有点麻烦。

那怎么进阶？

• 组合拳1：Fail2ban + 云防火墙。 比如在阿里云、腾讯云上，你可以配置Fail2ban检测到恶意IP后，自动调用云厂商的API，把这个IP在网络入口层面就拉黑。这样攻击流量都到不了你服务器，更省资源。
• 组合拳2：Fail2ban + 威胁情报。 你可以把Fail2ban封禁的IP，自动上报到一些共享的威胁情报平台，或者从平台拉取已知的恶意IP列表，实现“联防联控”。这样，别的用户封过的IP，在你这里也会直接被拒。

说白了，安全从来不是“一个银弹搞定所有”，而是一层层的过滤网。Fail2ban就是一张非常实用、成本极低的“行为过滤网”，帮你把大部分没技术含量的自动化脚本攻击挡在外面，让你能腾出手来对付更复杂的威胁。

写在最后：你的源站还在“裸奔”吗？

最后说句大实话：很多站点的安全问题，不是出在没买昂贵的防护方案，而是连最基础的、免费的自动化防护都没做。

如果你还在手动查日志、封IP，真的该停一停了。花上半天时间，研究一下Fail2ban（或者类似的工具如DenyHosts for SSH），把它配置好、测试好。这就像给家里的门装了个智能锁，虽然防不住顶级小偷，但能杜绝99%的顺手牵羊。

技术这玩意儿，有时候不需要追求最炫的，管用、够用、用得起，才是对业务最大的负责。特别是创业公司和小团队，每一分钱和每一分钟人力都得花在刀刃上。

行了，关于Fail2ban的实战就先聊这么多。如果你在配置过程中遇到具体问题，比如某个奇葩的日志格式怎么解析，欢迎随时来交流。毕竟，实战中的坑，才是最有价值的经验。