nginx网站攻击防护

1.上上个月架构全部迁移上云以后，总的来说比较稳定，业务量也上来，可爱的坏人也来了，7X24小时不停恶意攻击我的网站，第一次收到报警是网站流入流量1分钟以内连续3次超过1000000bps,换算下1M/s秒,平时没那么大流量的啊，当时刚好在朋友家玩，于赶紧开本本连vpn检查，发现全是访问同一个页面的请求，而且是正常访问http 200,应该是被恶意攻击了。

发现问题：
发现问题第一反应，赶紧将请求地址截图发给开发们看看，问问这个具体是什么?
最后得知是为短信验证码接口，据后来统计在被持续攻击的一个多小时中损失16000多条短信。

解决问题：一期防攻击策略：
发现问题当然要立马解决了，当时思路就是统计nginx日志，当单个ip在10秒钟内访问 /account/sendPhoneCode次数超过5次，就禁用这个ip,正常用户不可能有么大的访问量，于是就有了下面的防攻击shell脚本。

这个脚本加在定时任务里每分钟执行一次，半夜0点自动重启动防火墙，释放IP，基本上防止了攻击，大概使用了半个月。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88

#!/bin/bash #write: lijing QQ 858080796 #date:  20160528 v2.0 #description:拦截非法IP     #定义变量 RETVAL=0 Date=$(date '+%Y-%m-%d') Time=$(date '+%Y:%H:%M' -d '-1 minute') MON=$(date|awk -F" " '{print $2}') TODAY=$(date|awk -F" " '{print $3}') Log="/data/logs/nginx/access.log " LINE="70000"     #关键字 Key01="sendPhoneCode"     Status=/tmp/statuS_deny_ip     /sbin/service iptables status > $Status     #定义函数 #禁止时间函数 secure_deny_time(){ Time01=$(date "+%H:%M:%S" -d " -10 second") Time02=$(date "+%H:%M:%S" -d " -9  second") Time03=$(date "+%H:%M:%S" -d " -8  second") Time04=$(date "+%H:%M:%S" -d " -7  second") Time05=$(date "+%H:%M:%S" -d " -6  second") Time06=$(date "+%H:%M:%S" -d " -5  second") Time07=$(date "+%H:%M:%S" -d " -4  second") Time08=$(date "+%H:%M:%S" -d " -3  second") Time09=$(date "+%H:%M:%S" -d " -2  second") Time10=$(date "+%H:%M:%S" -d " -1  second")     echo  "$Time01  $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 " } #       禁止关键字函数 secure_key(){     tail -n $LINE $LOG |grep "$TODAY\/$MON"|grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3  |grep $4 |awk -F " " '{print $1}' |sort >> $Deny     echo " grep "$TODAY\/$MON" $LOG |grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3  |grep $4 |awk '{print $1}' |sort"         } #执行防火墙拦截函数 secure_deny_ip() {         cat $Deny         echo ......................         cat $Deny02     for i in $IP;do         NUM=$(cat $Deny02|grep $i|awk -F" " '{print $1}')        if [ -z $NUM ];then             echo " "         else             if [ $NUM -ge $Dot ];then                 for y in $i;do                     grep $y $Status  >/dev/null 2>&1                     RETVAL=$?                                         [ $RETVAL != 0  ] && echo "/sbin/iptables -I INPUT -s $y  -j DROP" [ $RETVAL != 0  ] && /sbin/iptables -I INPUT -s $y  -j DROP                                         [ $RETVAL != 0  ] && echo "$(date "+%H:%M:%S") $y " >> /tmp/$Date                     #[ $RETVAL != 0  ] && /sbin/iptables -I INPUT -s $y -p  tcp  -j REJECT                 done             fi         fi     done }         NUMBER="1 2 3 4 5 6" for  NUMBER in  $NUMBER   ;do sleep 10s #定义点击次数 Dot Dot=5 Deny=/tmp/secure_deny_tmp_$NUMBER Deny02=/tmp/secure_deny_$NUMBER #第1次,检查当前时间以前10s.  如: 0-10秒 echo "第$NUMBER 次,检查当前时间以前第$NUMBER 个10s.大于 $Dot 次攻击阻止" echo > $Deny for LOG in `echo $Log` ;do     secure_deny_time     for TIME in $Time01  $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 ;do         secure_key  $Key01     done        cat $Deny|sort|uniq -c > $Deny02            IP=$(cat $Deny02|awk -F" " '{print $2}')         secure_deny_ip done done exit

二期防攻击策略：

Shell脚本运行的半个月时间里，虽然防止了攻击，但是公司客服反馈有客户被误杀，最严重的是公司有次活动，10秒内发5个短信请求很正常啊，误杀了部分用户,被防火墙禁止IP不能访问任何服务。于是得从nginx应用层找方法，不能用老套方法禁IP了，在网上在找几天的资料解决，几乎没有相同的案例，只能自己创造了。

天道酬勤，终于有了两个思路：
一是nginx结合lua来防攻击（在网上看得我云里雾里的，最后不会lua选择放弃这个方案）。
二是利用ngx_http_referer_module（当时看了2天官网英文资料，http://nginx.org/en/docs/http/ngx_http_referer_module.html，这个页面的让我找到方法，尤其是nginx的if 语句）。

对比攻击日志和正常日志发现，其$http-referer是不同的，如下图：
    正常访问：

攻击访问：

最终解决思路：
        1、去掉了原来的　拦截ip策略，不载拦截ip。
        2、启用nignx的location 匹配/account 的$http-referer的过滤，当不是正常$http-referer，直接在再nginx处理。
Nginx配置如下：

1 2 3 4 5 6 7

location ~ /account(/.*)  { if ($http_referer ~  "https://www.xxxxxxxx.net/account/sendPhoneCode") {    #如果匹配就直接返回200，返回404，也行啊，自己定。给可爱的攻击者，不传给后端web                 return 200;        }     #不匹配，传给后端web  proxy_pass  http://web_group/account/; }

整个防攻击到现在没有出现任何问题，效果杠杠的。后期会增加第三期，主要是我们NB的开发，从程序级解决，如增加各种验证啊。