PoW-Shield

<img height=auto width=100% src="https://yellow-cdn.veclightyear.com/87312a0a/61c1587e-36aa-4d08-a5c9-0d396b3c3871.jpg" alt="PoW Shield"> <div align="center"> <img src="https://yellow-cdn.veclightyear.com/87312a0a/d36b6f48-003c-4cc4-95e3-1ca87ffbaf06.svg"> <img src="https://yellow-cdn.veclightyear.com/87312a0a/11b10e67-b20a-4bda-b2d4-13808f059b09.svg"> <img src="https://yellow-cdn.veclightyear.com/87312a0a/c01d0466-25e0-4922-9d56-2cce5903a5fc.svg"> <a href="https://hub.docker.com/r/ruisiang/pow-shield"> <img src="https://img.shields.io/docker/image-size/ruisiang/pow-shield/latest?label=docker%20image%20size"> </a> </div> <div align="center"> <img src="https://img.shields.io/github/repo-size/ruisiang/pow-shield?color=orange"> <a href="https://deepsource.io/gh/RuiSiang/PoW-Shield/?ref=repository-badge"> <img src="https://deepsource.io/gh/RuiSiang/PoW-Shield.svg/?label=active+issues&show_trend=true&token=yoFuBlRVaXTzIVkgAB6aSUf3"> </a> <a href="https://deepsource.io/gh/RuiSiang/PoW-Shield/?ref=repository-badge"> <img src="https://deepsource.io/gh/RuiSiang/PoW-Shield.svg/?label=resolved+issues&show_trend=true&token=yoFuBlRVaXTzIVkgAB6aSUf3"> </a> </div>

描述

PoW Shield通过在后端服务和终端用户之间充当使用工作量证明的代理，提供OSI应用层的DDoS保护。该项目旨在为一般的反DDoS方法（如谷歌的ReCaptcha，一直是一个令人头疼的问题）提供一种替代方案。访问由PoW Shield保护的网络服务从未如此简单，只需访问URL，您的浏览器将自动为您完成剩余的验证。

PoW Shield旨在提供以下捆绑在单个网络应用/Docker镜像中的服务：

• 工作量证明认证
• 速率限制和IP黑名单
• 网络应用防火墙

（新）LinkedIn上的文章

在Pentester Academy TV上展示

Medium上的故事

特性

• 网络服务结构
• 代理功能
• PoW实现
• Docker化
• IP黑名单
• 速率限制
• 单元测试
• WAF实现
• 多实例同步（Redis）
• SSL支持

通过PoW Phalanx控制器支持：

• 多实例管理
• 白名单令牌
• 黑名单IP同步
• 动态难度控制
• 仪表板

Go语言的替代实现PoW-Shield-Go（进行中）用于压力测试和未来的优化生产版本。

工作原理

基本上，PoW Shield作为实际网络应用/服务前面的代理工作。它通过工作量证明进行验证，只将授权流量代理到实际服务器。该代理易于安装，并能够通过WAF保护低安全性应用。

当用户浏览受PoW Shield保护的网络服务时，后台发生以下情况：

1. 服务器生成一个随机的十六进制编码"前缀"，并将其与PoW Shield页面一起发送给客户端。
2. 客户端的浏览器JavaScript然后尝试暴力破解一个"nonce"，当与前缀附加时，可以生成一个SHA256哈希，其前导零位数多于服务器指定的"难度"D。即SHA256(前缀 + nonce)=0...0xxxx（二进制，前导0的数量大于D）
3. 客户端JavaScript然后将计算出的nonce发送到服务器进行验证，如果验证通过，服务器为客户端生成一个cookie以通过认证。
4. 服务器开始代理现在已认证的客户端流量到服务器，并启用WAF过滤。

配置

您可以通过以下方法配置PoW Shield。

• nodejs: .env（示例：.env.example）
• docker-compose: docker-compose.yaml（示例：docker-compose.example.yaml）
• docker run: -e 参数

环境变量

变量	类型	默认值	描述
PORT	通用	3000	PoW Shield监听的端口
SESSION_KEY	通用		用于cookie签名的密钥，出于安全原因使用唯一密钥，否则任何人都可以伪造您的签名cookie
BACKEND_URL	通用		代理认证流量的位置，接受IP和URL（接受protocol://url(:port)或protocol://ip(:port)）
DATABASE_HOST	Redis	127.0.0.1	redis服务主机
DATABASE_PORT	Redis	6379	redis服务端口
DATABASE_PASSWORD	Redis	null	redis服务密码
POW	PoW	on	开启/关闭PoW功能（如果不是暂时关闭，为什么要使用这个项目呢？）
NONCE_VALIDITY	PoW	60000	指定nonce生成后必须提交到服务器的最长秒数（用于强制难度变化和过滤过时的nonce）
DIFFICULTY	PoW	13	问题难度，生成的哈希中前导0位的数量（0：极易 ~ 256：不可能，13（默认）需要浏览器大约5秒计算）
RATE_LIMIT	速率限制	on	开启/关闭速率限制功能
RATE_LIMIT_SAMPLE_MINUTES	速率限制	60	指定会话/IP的统计数据重置前的分钟数
RATE_LIMIT_SESSION_THRESHOLD	速率限制	100	单个会话可以发出的请求数量，超过后触发令牌撤销
RATE_LIMIT_BAN_IP	速率限制	on	开启/关闭IP封禁功能
RATE_LIMIT_IP_THRESHOLD	速率限制	500	单个会话可以发出的请求数量，超过后触发IP封禁
RATE_LIMIT_BAN_MINUTES	速率限制	15	IP封禁持续的分钟数
WAF	WAF	on	开启/关闭WAF功能
WAF_URL_EXCLUDE_RULES	WAF		扫描请求URL时排除的规则，使用','分隔规则编号，使用'-'指定范围（例如：1,2-4,5,7-10）
WAF_HEADER_EXCLUDE_RULES	WAF	14,33,80,96,100	扫描请求头时排除的规则，使用','分隔规则编号，使用'-'指定范围（例如：1,2-4,5,7-10）
WAF_BODY_EXCLUDE_RULES	WAF		扫描请求体时排除的规则，使用','分隔规则编号，使用'-'指定范围（例如：1,2-4,5,7-10）
SSL	SSL	off	开启/关闭SSL功能
SSL_CERT_PATH	SSL	tests/ssl/mock-cert.pem	SSL证书路径
SSL_KEY_PATH	SSL	tests/ssl/mock-key.pem	SSL密钥路径
SOCKET	Socket	off	开启/关闭socket功能
SOCKET_URL	Socket		PoW Phalanx控制器的位置，接受IP和URL（接受protocol://url:port或protocol://ip:port）
SOCKET_TOKEN	Socket		PoW Phalanx控制器的订阅令牌

使用方法

Nodejs

先决条件

• Docker ^19.0.0
• Nodejs ^14.0.0

# 克隆仓库
git clone https://github.com/RuiSiang/PoW-Shield.git

# 安装依赖
npm install

# 配置设置
cp -n .env.example .env
# 编辑 .env
nano .env

# 转译
npm run build

#############################################
# 使用数据库（redis）运行，推荐且更快       #
# 先安装redis                               #
# sudo apt-get install redis-server         #
#############################################
npm start
#############################################

#############################################
#        不使用数据库运行（模拟redis）      #
#############################################
npm run start:standalone # linux
npm run start:standalone-win # windows
#############################################

# 测试功能（可选）
npm test

Docker (仓库)

####################################################
# 使用数据库（redis）的Docker运行，推荐且更快      #
####################################################
docker run -p 3000:3000 -e BACKEND_URL="http://example.com" -d ruisiang/pow-shield
####################################################

####################################################
#        不使用数据库的Docker运行（模拟redis）     #
####################################################
docker run -p 3000:3000 -e BACKEND_URL="http://example.com" -e NODE_ENV="standalone" -d ruisiang/pow-shield
####################################################

####################################################
#                  Docker Compose                  #
####################################################
# 复制docker-compose.example.yaml
cp -n docker-compose.example.yaml docker-compose.yaml
# 编辑docker-compose.yaml
nano docker-compose.yaml

# 启动容器
docker-compose -f docker-compose.yaml up
####################################################

压力测试

注意：这只适用于非容器化版本的PoW Shield，运行测试时您的系统可能会出现不稳定。

# 开始压力测试
npm run stress

# 如果您在.env中更改了PORT变量，您还应该在压力测试脚本中更改目标变量
nano scripts/stress.sh

以下测试在i7-10870H CPU的单线程上进行，每个并发参数的测试时间为60秒。

大量GET请求

并发连接数	平均延迟	错误率	每秒请求数
64	15.3ms	0.0000	4188
128	30.2ms	0.0000	4229
256	60.4ms	0.0000	4235
512	122.6ms	0.0142	4166
1024	261.7ms	0.1766	3894
2048	1966.5ms	0.4979	1027
4096	4685ms	0.7179	838

Nonce洪水攻击

并发连接数	平均延迟	错误率	每秒请求数
64	15.6ms	N/A	4094
128	31.5ms	N/A	4058
256	61.5ms	N/A	4159
512	129.5ms	N/A	3945
1024	264.4ms	N/A	3858
2048	592.1ms	N/A	3407
4096	1212.6ms	N/A	3322

从上面的样本中，我们可以看到PoW Shield的适当最大负载估计约为512个并发连接。之后，错误率和延迟会