防cc攻击利器之Httpgrard
一、httpgrard介绍
HttpGuard是基于openresty,以lua脚本语言开发的防cc攻击软件。而openresty是集成了高性能web服务器Nginx,以及一系列的Nginx模块,这其中最重要的,也是我们主要用到的nginx lua模块。HttpGuard基于nginx lua开发,继承了nginx高并发,高性能的特点,可以以非常小的性能损耗来防范大规模的cc攻击。
1.1 httpgrard防cc特效
- 限制访客在一定时间内的请求次数
- 向访客发送302转向响应头来识别恶意用户,并阻止其再次访问
- 向访客发送带有跳转功能的js代码来识别恶意用户,并阻止其再次访问
- 向访客发送cookie来识别恶意用户,并阻止其再次访问
- 支持向访客发送带有验证码的页面,来进一步识别,以免误伤
- 支持直接断开恶意访客的连接
- 支持结合iptables来阻止恶意访客再次连接
- 支持白名单功能
支持根据统计特定端口的连接数来自动开启或关闭防cc模式
详见github地址https://github.com/centos-bz/HttpGuard
另一个README.md地址https://www.centos.bz/forum/thread-119-1-1.html
1.2 安装
shell 脚本安装 ,开启自动防御
#!/bin/sh
############################################################
# cat /etc/redhat-release
# CentOS release 6.8 (Final)
# uname -r
# 2.6.32-642.13.1.el6.x86_64
############################################################
. /etc/init.d/functions #Defined result function
function Msg(){
if [ $? -eq 0 ];then
action "$1" /bin/true
else
action "$1" /bin/false
fi
} OPENRESTY_VERSION='1.11.2.2'
PHP_VERSION='5.5.38'
PYTH="/usr/local/openresty/nginx/conf"
RED_COLOR='\E[1;31m'
RES='\E[0m' echo -e "$RED_COLOR Transit IP $RES"
read -p "Input relay IP: " a function Install_openresty(){
id www&>/dev/null
if [ $? -ne 0 ];then
useradd -s /sbin/nologin -M www
fi
yum install -y readline-devel pcre-devel openssl-devel gcc unzip &> /dev/null
cd /usr/src/
[ ! -f openresty-${OPENRESTY_VERSION}.tar.gz ] && \
wget https://openresty.org/download/openresty-1.11.2.2.tar.gz &> /dev/null
tar xf openresty-${OPENRESTY_VERSION}.tar.gz
cd openresty-${OPENRESTY_VERSION}
./configure --prefix=/usr/local/openresty \
--with-luajit \
--with-http_stub_status_module \
--with-pcre \
--with-pcre-jit &> /dev/null
gmake &> /dev/null && gmake install &> /dev/null [ ! -f master.zip ] && \
wget --no-check-certificate https://github.com/centos-bz/HttpGuard/archive/master.zip &> /dev/null
unzip master.zip &> /dev/null
mv HttpGuard-master $PYTH/waf
cd $PYTH/waf
chown www logs
Msg "Install_openresty"
} function Configfile_nginx(){
\cp $PYTH/nginx.conf $PYTH/nginx.conf.bak
>$PYTH/nginx.conf
cat >> $PYTH/nginx.conf <<EOF
user www;
worker_processes 1;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
lua_max_running_timers 1;
lua_shared_dict guard_dict 100m;
lua_shared_dict dict_captcha 70m;
init_by_lua_file '/usr/local/openresty/nginx/conf/waf/init.lua';
access_by_lua_file '/usr/local/openresty/nginx/conf/waf/runtime.lua';
lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
sendfile on;
keepalive_timeout 65;
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://${a};
proxy_redirect off;
proxy_set_header Host \$host;
proxy_set_header X-Real-IP \$remote_addr;
proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
}
EOF
sed -i "s#baseDir = '/data/www/waf/'#baseDir = '$PYTH/waf/'#g" $PYTH/waf/config.lua
sed -i '90s#Off#On#' $PYTH/waf/config.lua
sed -i '44s#off#On#' $PYTH/waf/config.lua
Msg "Configfile_nginx"
} function Install_php(){
yum -y install libjpeg libjpeg-devel libpng libpng-devel freetype \
freetype-devel libxml2-devel &> /dev/null
cd /usr/src/
[ ! -f php-${PHP_VERSION}.tar.gz ] && \
wget http://cn.php.net/distributions/php-5.5.38.tar.gz &> /dev/null
tar xf php-${PHP_VERSION}.tar.gz
cd php-${PHP_VERSION}
./configure \
--with-png-dir \
--with-freetype-dir \
--with-jpeg-dir \
--with-gd --prefix=/usr/local/php &> /dev/null
make &> /dev/null && make install &> /dev/null
cd $PYTH/waf/captcha
/usr/local/php/bin/php getImg.php &> /dev/null
Msg "Install_php"
} function Check_openresty(){
/usr/local/openresty/nginx/sbin/nginx -t &> /dev/null
/usr/local/openresty/nginx/sbin/nginx
if [ `grep "openresty" /etc/rc.local|wc -l` -eq 0 ];then
echo "/usr/local/openresty/nginx/sbin/nginx" >>/etc/rc.local
fi
Msg "Check_openresty"
} function Iptables_configure(){
yum -y install ipset &> /dev/null
iptables -F
/etc/init.d/iptables save &> /dev/null
/etc/init.d/iptables restart &> /dev/null
ipset create forbidip hash:ip timeout 600
iptables -A INPUT -p tcp -m set --match-set forbidip src -m tcp --dport 80 -j DROP
/etc/init.d/iptables save &> /dev/null
chkconfig iptables on
if [ `grep "forbidip" /etc/rc.local|wc -l` -eq 0 ];then
echo "ipset create forbidip hash:ip timeout 600" >> /etc/rc.local
fi
chkconfig iptables on
Msg "Iptables_configure"
} function main(){
Install_openresty
Configfile_nginx
Install_php
Check_openresty
Iptables_configure
}
main
防御模块介绍
有三种主动防御模式
-- 主动防御,302响应头跳转模块
-- 主动防御,发送js跳转代码模块
-- 主动防御,发送cookie验证模块
具体查看config.lua配置文件
-- state : 为此模块的状态,表示开启或关闭,可选值为On或Off;
-- keySecret : 用于生成token的密码,如果上面的keyDefine为dynamic,就不需要修改
-- 主动防御,发送js跳转代码模块。利用cc控制端无法解析js跳转的特点,来识别是否为正常用户,当有必要时才建议开启。
-- keySecret : 用于生成token的密码,如果上面的keyDefine为dynamic,就不需要修改
-- urlProtect 同limitReqModules模块中的urlProtect的解释。 -- state : 为此模块的状态,表示开启或关闭,可选值为On或Off;
-- keySecret : 用于生成token的密码,如果上面的keyDefine为dynamic,就不需要修改
-- urlProtect 同limitReqModules模块中的urlProtect的解释。 -- 自动开启主动防御,原理是根据protectPort端口的已连接数超过maxConnection来确定
-- state : 为此模块的状态,表示开启或关闭,可选值为On或Off;
-- interval 间隔30秒检查一次连接数,默认为30秒。
-- protectPort,maxConnection,normalTimes,exceedTimes : enableModule中的模块为关闭状态时,当端口protectPort的连接数连续exceedTimes次超过maxConnection时,开启enableModule中的模块;
-- enableModule中的模块为开启状态时,当端口protectPort的连接数连续normalTimes次低于maxConnection时,关闭enableModule中的模块。
-- ssCommand : 我们是使用ss命令来检查特定端口的已连接的连接数,ss命令比同类的命令netstat快得多。请把ss命令的路径改为自己系统上的>路径。
-- enableModules : 自动启动哪个主动防御模块,可选值为redirectModules JsJumpModules cookieModules
测试:
-- 值为captcha时,表示ip在黑名单后返回带有验证码的页面,输入正确的验证码才允许继续访问网站
当值为blockAction = "forbidden",-- 值为forbidden时,表示ip在黑名单后,服务器会直接断开与用户的连接.
当值为 blockAction = "iptables",时
cat attack-2016-12-29.log
2016-12-29 00:23:52 [WARNING] [limitReqModules] IP 192.168.179.1 visit 51 times,block it.
[root@redis logs]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- bogon anywhere tcp dpt:http Chain FORWARD (policy ACCEPT)
target prot opt source destination Chain OUTPUT (policy ACCEPT)
target prot opt source destination
封锁时间
-- 表示http-guard封锁ip的时间
blockTime = 600, -- JsJumpModules redirectModules cookieModules验证通过后,ip在白名单的时间
whiteTime = 600,
问题点
当这个白名单开启,需在white_ip_list.txt 里写一些IP,否则所有防御失效,这可能是个bug
-- 白名单ip文件,文件内容为正则表达式。
whiteIpModules = { state = "Off", ipList = baseDir.."url-protect/white_ip_list.txt" },
默认只限制php的请求
-- urlProtect : 指定限制请求次数的url正则表达式文件,默认值为\.php$,表示只限制php的请求(当然,当urlMatchMode = "uri"时,此正则才>能起作用)
匹配php等其它
\.(php|htm|html|asp)$
匹配所有
.*
或者
^/$
\.asp.*$
\.php.*$
\.htm.*$
日志太大
好像关不了,可以加个定时任务清理。cat /dev/null > log
1.3、WAF上线
- 初期上线只记录日志,不开启WAF,防止误杀
- WAF规则管理使用saltstack工具
- 要知道并不是有了WAF就安全,存在人为因素
1.4、Modsecurity
Modsecurity原理分析--从防御方面谈WAF的绕过
http://www.tuicool.com/articles/rE3i63n
安装配置
https://github.com/SpiderLabs/ModSecurity/wiki/Compilation-recipes
防cc攻击利器之Httpgrard的更多相关文章
- linux中防CC攻击两种实现方法(转)
CC攻击就是说攻击者利用服务器或代理服务器指向被攻击的主机,然后模仿DDOS,和伪装方法网站,这种CC主要是用来攻击页面的,导致系统性能用完而主机挂掉了,下面我们来看linux中防CC攻击方法. 什么 ...
- OpenResty(nginx扩展)实现防cc攻击
OpenResty(nginx扩展)实现防cc攻击 导读 OpenResty 通过汇聚各种设计精良的 Nginx 模块(主要由 OpenResty 团队自主开发),从而将 Nginx 有效地变成一个强 ...
- nginx利用limit模块设置IP并发防CC攻击
nginx利用limit模块设置IP并发防CC攻击 分类: 系统2013-01-21 09:02 759人阅读 评论(0) 收藏 举报 来源:http://blog.xencdn.net/nginx- ...
- 使用Discuz!自带参数防御CC攻击以及原理,修改Discuz X 开启防CC攻击后,不影响搜索引擎收录的方法
这部份的工作,以前花的时间太少. 希望能产生一定的作用. http://www.nigesb.com/discuz-cc-attacker-defence.html http://bbs.zb7.co ...
- PHP防CC攻击代码
PHP防CC攻击代码: empty($_SERVER['HTTP_VIA']) or exit('Access Denied'); //代理IP直接退出 session_start(); $secon ...
- 防cc攻击策略
黑客攻击你的网站,会采取各种各样的手段,其中为了降低你网站的访问速度,甚至让你的服务器瘫痪,它会不断的刷新你的网站,或者模拟很多用户同一时间大量的访问你的网站, 这就是所谓的CC攻击,这就需要我们在程 ...
- Linux系统防CC攻击自动拉黑IP增强版Shell脚本 《Linux系统防CC攻击自动拉黑IP增强版Shell脚本》来自张戈博客
前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个 ...
- Nginx 防CC攻击拒绝代理访问
先大概说说简单的结构…前端一个Nginx反向代理,后端一个Nginx instance app for PHP…实际上就是个Discuz,之前面对CC攻击都是预警脚本或者走CDN,但是这次攻击者不再打 ...
- 修改Discuz!X系列开启防CC攻击,不影响搜索引擎收录
最近网站一直被攻击,特别是新上线的交流社区,所以今天写了一个开启CC攻击防护代码,而且不影响搜索引擎收录. 在config_global.php文件中有如下代码: $_config['security ...
随机推荐
- Java合并png图片
package org.jimmy.autosearch2019.test; import java.awt.Graphics; import java.awt.image.BufferedImage ...
- Debug 是门艺术
最近想结合发生在身边码农身上的一些小故事,尝试表达一个观点“Coding 是门技术,Debug 是门艺术”. 上期的分享<Coding 是门技术>主要通过引入身边 Code farmer ...
- 阿里 IOS 面试官教你在面试中脱颖而出
前言: 知己知彼.百战不殆,面试也是如此. 只有充分了解面试官的思路,才能更好地在面试中充分展现自己. 今天,阿里高级技术专家将分享自己作为面试官的心得与体会.如果你是面试者,可以借此为镜,对照发现自 ...
- git使用基本步骤
一.Git配置环境: 1.通过git init命令把某个目录变成Git可以管理的仓库: 2.生成公钥秘钥:ssh key ssh-keygen -t rsa -C "for example@ ...
- 如何优雅的将文件转换为字符串(环绕执行模式&行为参数化&函数式接口|Lambda表达式)
首先我们讲几个概念: 环绕执行模式: 简单的讲,就是对于OI,JDBC等类似资源,在用完之后需要关闭的,资源处理时常见的一个模式是打开一个资源,做一些处理,然后关闭资源,这个设置和清理阶段类似,并且会 ...
- 第一章构建vue项目,代码仓库管理
一.安装node.js.vue-cli脚手架 1.安装node.js 下载地址:https://nodejs.org/en/download 查看版本号 node -v .npm -v 出现版本号即安 ...
- C语言把浮点数转换为字符串
目录 1.把float/double格式化输出到字符串 2.注意事项 3.版权声明 1.把float/double格式化输出到字符串 标准的C语言提供了atof函数把字符串转double,但是没有提供 ...
- 多转一ETH(ERC20代币汇集)
1.下载表格模板 2.导入小号地址 NO1.地址整理 NO2.地址导入 NO3.导入完成 3.查询地址余额1.下图是汇集ETH的操作图片 2.下图是汇集ERC20代币的操作图片 注 ...
- 关于AUI框架自学心得
2018年8月25日今天星期六,这段时间接触到移动端布局框架AUI,借着早上一个小时时间大致看了一下开发文档(后面统称文档),对AUI一点认识. 目前2.0版本为最新版,这个版本和1.0比较升级很多. ...
- 100 Path Sum
Given a binary tree and a sum, determine if the tree has a root-to-leaf path such that adding up all ...