SSRF 服务器端请求伪造是一种攻击类型其中攻击者会从易受攻击的网页应用程序的服务器发送恶意请求。执行此操作是为了破坏无法从外部网络访问的内部系统。若要防范 SSRF 攻击我们建议您在 Synology Download Station 上设置封锁名单。本文将引导您了解如何将内部网络中其他服务器(如 MailPlus Server 和 Synology Drive Server)的 IP 地址添加到 Synology Download Station 的封锁列表。
抵御SSRF攻击的教程
将 IP 地址列入封锁列表
- 通过 SSH/Telnet 使用 root 权限登录 DSM (教程)。
- 输入以下命令以添加或编辑 Synology Download Station 的封锁列表:
vi /var/packages/DownloadStation/etc/og_block_list.conf
- 输入
i
以打开插入模式。 - 使用 CIDR 无类域间路由表示法输入要加入封锁名单的 IP 地址。例如子网掩码为 “255.255.255.0” 的 IP 地址 “10.17.29.22” 在 CIDR 表示法中为 “10.17.29.22/24”。您可以使用 CIDR 图表或在线子网计算器来帮助您获取正确的地址。
- 编辑完成后按 Esc 退出插入模式。
- 键入
:x
并按 Enter 以保存。 - 输入以下命令以确保封锁列表生效:
chmod a+r /var/packages/DownloadStation/etc/og_block_list.conf