nginx网站攻击防护
1.上上个月架构全部迁移上云以后,总的来说比较稳定,业务量也上来,可爱的坏人也来了,7X24小时不停恶意攻击我的网站,第一次收到报警是网站流入流量1分钟以内连续3次超过1000000bps,换算下1M/s秒,平时没那么大流量的啊,当时刚好在朋友家玩,于赶紧开本本连vpn检查,发现全是访问同一个页面的请求,而且是正常访问http 200,应该是被恶意攻击了。
发现问题:
发现问题第一反应,赶紧将请求地址截图发给开发们看看,问问这个具体是什么?
最后得知是为短信验证码接口,据后来统计在被持续攻击的一个多小时中损失16000多条短信。
解决问题:一期防攻击策略:
发现问题当然要立马解决了,当时思路就是统计nginx日志,当单个ip在10秒钟内访问 /account/sendPhoneCode次数超过5次,就禁用这个ip,正常用户不可能有么大的访问量,于是就有了下面的防攻击shell脚本。
这个脚本加在定时任务里每分钟执行一次,半夜0点自动重启动防火墙,释放IP,基本上防止了攻击,大概使用了半个月。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
|
#!/bin/bash #write: lijing QQ 858080796 #date: 20160528 v2.0 #description:拦截非法IP #定义变量 RETVAL=0 Date=$( date '+%Y-%m-%d' ) Time=$( date '+%Y:%H:%M' -d '-1 minute' ) MON=$( date | awk -F " " '{print $2}' ) TODAY=$( date | awk -F " " '{print $3}' ) Log= "/data/logs/nginx/access.log " LINE= "70000" #关键字 Key01= "sendPhoneCode" Status= /tmp/statuS_deny_ip /sbin/service iptables status > $Status #定义函数 #禁止时间函数 secure_deny_time(){ Time01=$( date "+%H:%M:%S" -d " -10 second" ) Time02=$( date "+%H:%M:%S" -d " -9 second" ) Time03=$( date "+%H:%M:%S" -d " -8 second" ) Time04=$( date "+%H:%M:%S" -d " -7 second" ) Time05=$( date "+%H:%M:%S" -d " -6 second" ) Time06=$( date "+%H:%M:%S" -d " -5 second" ) Time07=$( date "+%H:%M:%S" -d " -4 second" ) Time08=$( date "+%H:%M:%S" -d " -3 second" ) Time09=$( date "+%H:%M:%S" -d " -2 second" ) Time10=$( date "+%H:%M:%S" -d " -1 second" ) echo "$Time01 $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 " } # 禁止关键字函数 secure_key(){ tail -n $LINE $LOG | grep "$TODAY\/$MON" | grep - v ^$| grep $TIME| grep $1 | grep $2 | grep $3 | grep $4 | awk -F " " '{print $1}' | sort >> $Deny echo " grep " $TODAY\/$MON " $LOG |grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3 |grep $4 |awk '{print $1}' |sort" } #执行防火墙拦截函数 secure_deny_ip() { cat $Deny echo ...................... cat $Deny02 for i in $IP; do NUM=$( cat $Deny02| grep $i| awk -F " " '{print $1}' ) if [ -z $NUM ]; then echo " " else if [ $NUM - ge $Dot ]; then for y in $i; do grep $y $Status > /dev/null 2>&1 RETVAL=$? [ $RETVAL != 0 ] && echo "/sbin/iptables -I INPUT -s $y -j DROP" [ $RETVAL != 0 ] && /sbin/iptables -I INPUT -s $y -j DROP [ $RETVAL != 0 ] && echo "$(date " +%H:%M:%S ") $y " >> /tmp/ $Date #[ $RETVAL != 0 ] && /sbin/iptables -I INPUT -s $y -p tcp -j REJECT done fi fi done } NUMBER= "1 2 3 4 5 6" for NUMBER in $NUMBER ; do sleep 10s #定义点击次数 Dot Dot=5 Deny= /tmp/secure_deny_tmp_ $NUMBER Deny02= /tmp/secure_deny_ $NUMBER #第1次,检查当前时间以前10s. 如: 0-10秒 echo "第$NUMBER 次,检查当前时间以前第$NUMBER 个10s.大于 $Dot 次攻击阻止" echo > $Deny for LOG in ` echo $Log` ; do secure_deny_time for TIME in $Time01 $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 ; do secure_key $Key01 done cat $Deny| sort | uniq -c > $Deny02 IP=$( cat $Deny02| awk -F " " '{print $2}' ) secure_deny_ip done done exit |
二期防攻击策略:
Shell脚本运行的半个月时间里,虽然防止了攻击,但是公司客服反馈有客户被误杀,最严重的是公司有次活动,10秒内发5个短信请求很正常啊,误杀了部分用户,被防火墙禁止IP不能访问任何服务。于是得从nginx应用层找方法,不能用老套方法禁IP了,在网上在找几天的资料解决,几乎没有相同的案例,只能自己创造了。
天道酬勤,终于有了两个思路:
一是nginx结合lua来防攻击(在网上看得我云里雾里的,最后不会lua选择放弃这个方案)。
二是利用ngx_http_referer_module(当时看了2天官网英文资料,http://nginx.org/en/docs/http/ngx_http_referer_module.html,这个页面的让我找到方法,尤其是nginx的if 语句)。
对比攻击日志和正常日志发现,其$http-referer是不同的,如下图:
正常访问:
攻击访问:
最终解决思路:
1、去掉了原来的 拦截ip策略,不载拦截ip。
2、启用nignx的location 匹配/account 的$http-referer的过滤,当不是正常$http-referer,直接在再nginx处理。
Nginx配置如下:
1
2
3
4
5
6
7
|
location ~ /account (/.*) { if ($http_referer ~ "https://www.xxxxxxxx.net/account/sendPhoneCode" ) { #如果匹配就直接返回200,返回404,也行啊,自己定。给可爱的攻击者,不传给后端web return 200; } #不匹配,传给后端web proxy_pass http: //web_group/account/ ; } |
整个防攻击到现在没有出现任何问题,效果杠杠的。后期会增加第三期,主要是我们NB的开发,从程序级解决,如增加各种验证啊。
nginx网站攻击防护的更多相关文章
- (转)网站DDOS攻击防护实战老男孩经验心得分享
网站DDOS攻击防护实战老男孩经验心得分享 原文:http://blog.51cto.com/oldboy/845349
- Nginx 支持 WAF 防护功能实战
WAF(Web Application Firewall),中文名称叫做“Web应用防火墙 WAF的定义是这样的:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提 ...
- MetInfo最新网站漏洞如何修复以及网站安全防护
metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到网站管理员的权限,网站漏洞影响范围较广,包括目前最新的metinfo版本都会受到该漏洞的攻击,该metinfo漏洞产生的 ...
- Ddos攻击防护
Ddos攻击防护 首先我们说说ddos攻击方式,记住一句话,这是一个世界级的难题并没有解决办法只能缓解 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要 ...
- 政府网站综合防护系统(网防G01)
政府网站综合防护系统,简称“网防G01”,是首款专门针对政府网站及服务器等关键信息基础资源进行综合防护的产品,由公安部第一研究所和计算机病毒防治技术国家工程实验室(北京)研发. 网防G01的架构 由服 ...
- Nginx网站部署
Nginx网站服务部署 常用的网站服务软件 处理静态资源的服务: apache软件:https://apache.org/ nginx软件:https://nginx.org/ 处理动态资源的服务: ...
- 几十万学费总结出来的Ddos攻击防护经验!
本人从事网络安全行业十余年年.有十年被骗经验.被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等. 言归正传 首先我们 ...
- 八.nginx网站服务实践应用
期中集群架构-第八章-期中架构nginx章节====================================================================== 01. web ...
- kindedit编辑器和xxs攻击防护(BeautifulSoup)的简单使用
一.kindedit编辑器 就是上面这样的编辑输入文本的一个编辑器 这也是一个插件.那么怎么用呢? 1.下载:百度kindedit 2.引入: <script src="/static ...
随机推荐
- pixel像素基础
地址:http://www.imooc.com/video/9564 dp(安卓),pt(iphone)是物理像素 ppi是由物理像素确定的 一英寸内有多少个像素渲染,ppi越高,图片越清晰 1px ...
- PowerMockRunner和ActiveObjectsJUnitRunner
Jira的二次开发,需要作单元测试. 测试跟数据库连接的类,比如service类,需要在类上加@RunWith(ActiveObjectsJUnitRunner.class). 有时需要搭配mocki ...
- tab切换webuploader失效的解决方法
<script type="text/javascript"> $(document).ready(function () { $('#tt').tabs({ bord ...
- ERP客户关系渠管理添加和修改联系人(二十一)
树形结构treeview 前端代码: <form id="form1" runat="server"> <div> <asp:Tr ...
- Intellij IDEA15: 带着参数 运行
package main.scala /** * Created by silentwolf on 2016/5/24. */ object FileIO { def main(args: Array ...
- C语言:指针实现交换两个变量的值
用指针交换两个变量的值(10分) 题目内容: 用指针交换两个变量的值 主函数参考: int main( ) { int a,b; scanf("%d%d",&a,& ...
- hadoop2.6.4集群的搭建
hadoop集群搭建(亲自操作成功步骤!值得信赖!) 1.1集群简介 hadoop的核心组件: HDFS(分布式文件系统) YARN(运算资源调度系统) MapReduce(分布式运算编程框架) HA ...
- SpringBoot中使用纯scala进行开发 配置教程 非常简单的案例
新建项目 建好之后 建一个叫scala的文件夹 并把它标记为root文件夹 修改pom.xml文件 复制粘贴如下内容: 添加的插件的作用,如果不添加,在新建文件的时候右键只能新建java的文件,无法创 ...
- priority_queue<int>q;
priority_queue<int>q;//默认不递增q.size();//q中有几个元素q.pop();//删除队首q.top();//返回队首元素q.push();//在队列中插入一 ...
- HashMap几个需要注意的知识点
HashMap简介 HashMap 是java集合框架的一部分. key value都允许null值 (除了非同步和允许使用 null 之外,HashMap 类与 Hashtable 大致相同) 不保 ...