最近搭建 AI 模型 API 中转或者各类代理服务的站长们可能发现,服务器的负载有点不对劲。明明没多少真实流量,但请求数却居高不下,或者 OpenAI、Anthropic 的账单余额突然像漏水一样往下掉。

经过分析,很多人发现是有大量的恶意 IP 在进行批量扫描,试图通过撞库或寻找漏洞来盗用你的 API Key 或直接蹭用你的模型额度。尤其是针对 cliproxyapi 这类服务的针对性扫描,简直防不胜防。

为了让大家的防线更稳固一些,今天专门汇总了一份恶意 IP 黑名单,并手把手教你怎么把它用起来,给服务器加把锁。

为什么你需要这份黑名单?

恶意扫描者通常使用自动化脚本,24 小时不间断地对公网 IP 进行探测。如果你的 API 接口没有做严格的鉴权或者频率限制,一旦被他们扫描到,后果可能是:

网络安全攻击示意图

恶意扫描者通常使用自动化脚本,24小时不间断探测,主动封禁是高效手段。

  • 账单爆炸:你的 API额度被大量消耗用于生成垃圾内容。
  • 服务瘫痪:高频扫描导致服务器 CPU/内存飙升,正常用户无法访问。
  • 安全风险:可能通过漏洞进一步渗透你的系统。

仅仅靠隐藏端口是不够的,主动封禁已知恶意 IP 是一种高效的手段。

恶意 IP 黑名单(持续更新)

以下是目前捕获到的部分恶意 IP 段,这些源头主要活跃于扫描代理接口和盗用模型资源。建议定期更新此列表。

Nginx配置文件示例

在Nginx配置文件中添加deny规则即可直接封禁恶意IP段。

(注:以下列表基于社区实战捕获,仅供参考,请根据业务情况选择性封禁)

# 恶意扫描与盗用模型 IP 示例
103.xx.xx.xx
107.xx.xx.xx
154.xx.xx.xx
185.xx.xx.xx
193.xx.xx.xx
194.xx.xx.xx
199.xx.xx.xx
...

(由于列表较长且不断变化,完整列表建议订阅实时的威胁情报源,或者关注此类安全社区的最新动态获取最新补丁。以上仅为格式示例,具体实施时请填入实际捕获的恶意数据。)

实战:如何部署封禁?

光有列表没用,关键是得把它扔进防火墙里。这里提供几种常见的部署方案,无论你是用 Nginx、宝塔还是 Cloudflare,总有一款适合你。

方案一:Nginx 直接封禁(最简单)

如果你是直接使用 Nginx 反向代理,可以直接在 http 块或者独立的 block.conf 文件中引入以下配置:

# /etc/nginx/conf.d/block_ip.conf
deny 103.0.0.0/8;
deny 107.0.0.0/8;
deny 154.0.0.0/8;
# ... 依次添加其他 IP 或段

然后在 nginx.confhttp 块里 include 这个文件,最后 reload 一下 Nginx 即可生效。

优点:配置简单,立竿见影。 缺点:如果 IP 数量上万(例如几万行),可能会轻微增加 Nginx 解析配置的时间。

方案二:Cloudflare WAF 封禁(推荐 CDN 用户)

如果你的域名挂在 Cloudflare 下,利用它们的 WAF 自定义规则是最轻松的,而且不消耗源站性能。

  1. 进入你的域名 -> Security -> WAF
  2. 创建一个 Custom rule
  3. 字段选择 IP Address,运算法则选 in,值填入你的恶意 IP 列表(或者使用 IP List 功能)。
  4. 动作选择 Block

这样请求在到达你的服务器之前就被拦下来了,既省流量又护安全。

方案三:使用 Fail2Ban 自动化封禁(进阶)

对于那些不在名单里,但正在尝试暴力破解或异常扫描的 IP,咱们可以用 Fail2Ban 来动态捕捉。

比如,你可以写一个过滤器,监控 Nginx 日志,如果某个 IP 一分钟内请求了 50 次 /v1/chat/completions 且返回 401/403 错误,直接封禁 24 小时。

/etc/fail2ban/filter.d/nginx-api-dos.conf:

[Definition]
failregex = ^<HOST> .* "(POST|GET) .*" (401|403|429)
ignoreregex =

结合 jail.local 使用效果更佳,这属于“授人以渔”,能防住很多未知的攻击。

除了封禁 IP,还能做什么?

封禁 IP 只是治标,想要长治久安,代码层面的逻辑更重要:

  1. 严格鉴权:API Key 必须强随机生成,不要用简单的字符串。
  2. 请求签名:对请求参数按时间戳+Hash进行签名验证,防止重放攻击。
  3. 实名制或额度控制:给新用户分配很小的测试额度,用完需实名审核或充值,防止被盗刷造成巨额损失。
  4. 隐藏管理后台:不要让管理面板暴露在公网,尽量通过 VPN 或白名单 IP 访问。

写在最后

网络安全是一场持久战,恶意 IP 的名单也会随着攻击者的肉鸡更换而滚动更新。建议大家平时多关注服务器日志,一旦发现异常流量峰值,及时溯源并加入自己的黑名单库。

如果你有更好的防护工具推荐,或者在封禁过程中遇到了什么“误伤”的趣事,欢迎在评论区交流,大家一起把篱笆扎紧!

标签: none

AI Skills Smart Station on Nick Launches

评论已关闭