利用Nignx巧妙解决我所遇到的DDOS攻击

最新推荐文章于 2024-09-06 12:00:00 发布
最新推荐文章于 2024-09-06 12:00:00 发布
阅读量3.9k 收藏 4
点赞数 1
文章标签: WEB攻击 Nginx ddos攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hopeztm/article/details/50493999
版权

1. 问题

自家的APP上线已经有一段时间了,突然有一天发现线上产品居然不能发送验证码。

登录第三方短信验证码服务后台,发现问题很严重。


3 youbiquan 15797 2015-12-25
4 youbiquan 57 2015-12-23
5 youbiquan 49 2015-12-22
6 youbiquan 54 2015-12-21
7 youbiquan 64 2015-12-20

发现几天前,短信服务居然发出去15000多条短信出去,直接把服务费刷光了。

要找原因就只能找 Nignx 的日志了。

日志中,发现大量的对短信接口的访问,并且在我查看时候,日志依然在疯狂的追加,是典型的ddos攻击了。当然最核心的内容还是对短信接口的疯狂访问量

221.178.182.21 - - [05/Jan/2016:16:19:25 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.3; XM50h Build/19.1.1.C.1.2)" "-"
171.82.225.66 - - [05/Jan/2016:16:19:32 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.4; 2014812 MIUI/V6.6.3.0.KHJCNCF)" "-"
171.82.225.66 - - [05/Jan/2016:16:19:32 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.4; 2014812 MIUI/V6.6.3.0.KHJCNCF)" "-"
110.89.16.13 - - [05/Jan/2016:16:19:49 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"
110.89.16.13 - - [05/Jan/2016:16:19:49 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"
118.114.160.200 - - [05/Jan/2016:16:21:26 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
118.114.160.200 - - [05/Jan/2016:16:21:39 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
119.122.0.136 - - [05/Jan/2016:16:21:41 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
118.114.160.200 - - [05/Jan/2016:16:21:51 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"


甚至在很多访问量过大时候,都会觉得服务器不能正常提供服务,处于崩溃的边缘。


2. 临时方案

在搞清楚问题之前,首先想到的是,先把短信服务停掉,让攻击者不能访问服务,但是又不能将服务器关掉,毕竟线上用户还在使用。

所以先用nginx把这个接口rewrite了。

if ( $request_uri ~* "showType=smsAuthcode" )
{  
    rewrite ^/ http://www.baidu.com/;
}

当然配置方法可能有好多,这里只是提供一个解决问题的思路,具体配置还可以参考更专业的nginx配置的资料。

首先给百度抱歉,把攻击请求转发给百度了。其实随便return一个值就好了,例如200. 


3. 基于log分析的方案

当然问题这样,并不能算解决,线上用户也不能注册新用户了。

我首先想到的方案还是对IP访问限制,分析了一下log,有的ip攻击次数到达几千次,当然也有的ip只有几次访问。对于访问几次的ip,其实没有办法确定是真用户还是攻击机器的IP。 在网上找了一个可以让某个接口,在一定时间内,限制ip访问次数的方案。

iptables -A INPUT -p tcp --dport 80 -d xx.xx.xx.xx -m string --string "/myinterface?showType=smsAuthcode" --algo kmp -m recent --name httpuser --set
iptables -A INPUT -m recent --update --name httpuser --seconds 86400 --hitcount 4 -j LOG --log-level 5 --log-prefix 'HTTP attack: '
iptables -A INPUT -m string --string "/myinterface?showType=smsAuthcode" --algo kmp -m recent --update --name httpuser --seconds 86400 --hitcount 10 -j REJECT

基本的含义,就是对访问的请求进行字符串匹配,如果发现有对短信接口的访问,就使用recent模块记录下来访问,如果在一天中访问超过4次,就不让再访问短信接口。 

其实也是有一定效果的方案


序号 账号 数量(条) 日期
       
2 youbiquan 540 2016-01-08
3 youbiquan 2857 2016-01-04
4 youbiquan 388 2016-01-05
5 youbiquan 2469 2016-01-06

虽然采用基于ip地址的防范,有点效果,但是依然没有根本防住的,我们平时一天也就发50条左右,IP防火墙设置后,依然每天有几千条。分析后发现,这个攻击使用的IP地址是在太多了,所以感觉用IP地址防根本没有希望。


某一天,一筹莫展的时候,我又打开nginx访问日志,突然发现攻击的行为的 user-agent都好短,和其他访问的user-agent有明显差别。

似乎攻击者的user-agen都是“Mozila/5.0“,然后就没有了,而其他的访问,会有更多信息,包括系统版本,浏览器等。

按照这样的猜想,我去用程序分析user-agent,果然只有访问短信接口的UA中存在很短的 “Mozila/5.0“, 其他访问不存在这个UA,但是还有一些不短的UA

Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"
于是就搜了一下,发现Dalvik是一个Android虚拟机,瞬间觉得明朗了,感觉完全可以基于UA防范,把Mozila/5.0和虚拟机全拦截住,问题不就解决了么。


于是在nginx的配置里,加了下面几段代码

if ($http_user_agent = "Mozilla/5.0") {
       return 503;
}

if ($http_user_agent ~* "Dalvik/1.6.0") {
       return 503;
}

第一段就是严格匹配 Mozila/5.0 第二段的意思以 Dalvik开头的UA,就是虚拟机的UA。


果然在采用这个方式防范以后,瞬间有了明显效果。

2 youbiquan 57 2016-01-09

按照新方法,从新防范后,短信发送的条数,直接回到之前的正常水平,自己用了几个手机测试了一下,也是OK的。


不过也不能高兴的太早,似乎攻击者也很容易伪造UA,想要完全解决DDOS,还要更多学习科学文化知识才行~

原文链接 http://sunrising.me/?p=67


文西
关注
Nginx额外篇之ddos攻击防御心得
忆的博客
07-07 2306
1.什么是ddos攻击了? 简单来说就是拒绝服务式攻击,通过调用客户端对你的服务器发起大量的正常请求,导致你的系统负载增加,流量暴涨,服务器频繁报警。 2.怎么分析ddos攻击了(以Nginx为例)? 日志示例: ipa | - | 06/Jul/2020:17:03:12 +0800 | GET xxx.apk HTTP/1.1 | 200 | 15606384 | 15606128 | xxx.com | http://xxx.html | Mozilla/5.0 | - | - | ipb,ipc
Nginx避免DDos攻击
zzhongcy的专栏
03-22 9438
分布式拒绝服务攻击(DDoS)指的是通过多台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞、资源耗尽从而不能为正常用户提供正常服务的攻击手段。随着互联网带宽的增加和相关工具的不断发布,这种攻击的实施难度越来越低,有大量IDC托管机房、商业站点、游戏服务商一直饱受DDoS攻击的困扰,那么如何缓解甚至解决DDoS呢?最近Rick Nelson在Nginx的官方博客上发表了一篇文...
使用NginxNginx Plus抵御DDOS攻击
weixin_30725467的博客
10-18 603
原创2015-10-16陈洋运维帮 DDOS是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法接受新的请求或变得很慢。 应用层DDOS攻击的特征 应用层(七层/HTTP层)DDOS攻击通常由木马程序发起,其可以通过设计更好的利用目...
如何让Nginx变身网络安全卫士?对抗DDoS与CSRF的5步超强攻略
java专栏
07-07 565
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀嗨,各位小伙伴们!今天,我们要来一场超萌的安全大冒险,目标直指那个让无数网站头疼的捣蛋鬼——DDoS攻击,以及它的小伙伴HTTP请求伪造(简称CSRF)。想象一下,Nginx这位温文尔雅的服务器守护者,正穿着超人的披风,准备迎战这些不速之客。我们的任务,就是帮助Nginx打造一套超级防护服,让它在互联网的大风大浪中也能稳如泰山。
Nginx防御DDOS攻击
三弦的回忆
11-08 2116
防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御。
nginx防御DDOS攻击
Memory1011的博客
12-14 167
转自:http://www.pinlue.com/article/2019/12/2516/199857737228.html
Nginx与安全防护:DDoS攻击防御
最新发布
java专栏
09-06 734
大家好呀!今天咱们要探讨的是如何使用 Nginx 来加强网站的安全防护,尤其是如何应对 DDoS 攻击。DDoS 攻击是一种常见的网络攻击手段,它通过向目标服务器发送大量流量,试图让服务器不堪重负而崩溃。为了保护我们的网站不受这种攻击的影响,我们需要采取一些措施。接下来,就跟着我一起学习如何使用 Nginx 来实现这些安全防护吧!DDoS(Distributed Denial of Service)攻击,也就是分布式拒绝服务攻击
Nginx防御DDOS攻击的配置方法教程
09-30
DDoS攻击通常利用大量分布式源头向目标服务器发送请求,导致服务过载,无法正常响应合法用户的请求。本文将详细介绍如何通过Nginx的配置来防御DDoS攻击。 首先,DDoS攻击分为四层流量攻击和七层应用攻击。四层攻击...
使用NginxNginx Plus抵御DDOS攻击的方法
01-20
DDOS 是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法接受新的请求或变得很慢...
nginx怎么防御DDOS攻击
ysds20211402的博客
01-11 2974
转自:微点阅读https://www.weidianyuedu.com/content/1017298565442.html 防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御.
nginx限制客户端请求数+iptables限制TCP连接和频率来防止DDOS
weixin_34206899的博客
08-02 1148
DDOS的特点是分布式,针对带宽和服务×××,即四层流量×××和七层应用×××。对于七层的应用×××,如果前端是Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御,通过限制连接数和请求数能相对有效的防御CC×××。 * ngx_http_limit_req_module:限制单个IP单位时间内的请求数,即速率限制,该模块默认已经安装 * ngx_...
关于nginx防止ddos和cc攻击方法(转)
wch6887164的博客
07-02 5616
CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以...
如何配置Nginx以防止DDoS攻击
长风破浪会有时的博客
05-20 573
想象一下,如果有一大群坏孩子(恶意电脑)同时给你家的门铃按个不停,你的家人(服务器)就无法正常进出家门了。这就是DDoS攻击的效果,它会让服务器忙于应对大量的虚假请求,而无法处理真正的用户请求。这些配置可以帮助你的Nginx服务器更好地应对DDoS攻击,但请记住,DDoS攻击是非常复杂的,可能需要更多的安全措施来完全保护你的服务器。而且,这些配置也可能会影响正常用户的体验,所以在设置限制时要小心谨慎。Nginx是一个非常强大的服务器软件,它有一些特殊的配置可以帮助我们阻挡这些坏孩子的捣乱。
什么是DDoS攻击NGINX如何帮助缓解DDoS攻击
越努力越幸运。
01-25 456
DDoS(分布式拒绝服务)攻击是一种恶意的网络攻击,旨在通过发送大量的请求或流量来超载目标服务器或网络资源,从而使其无法正常工作或提供服务。这种攻击通常涉及多个攻击者,它们可能是通过僵尸计算机(感染的恶意软件控制的计算机)或其他恶意方式协调的,以使攻击更具威力。需要注意的是,虽然NGINX可以采取这些措施来帮助缓解DDoS攻击,但对于大规模和复杂的DDoS攻击,可能需要使用专门的DDoS防御解决方案来应对。这些解决方案可以在应用层、网络层和运营商层面上提供更强大的保护。
解密Nginx限流机制:有效应对DDoS攻击与高并发流量
todoitbo的博客
04-10 1387
本文将深入探讨Nginx限流的原理、实现方式以及应用场景。我们将介绍如何在Nginx中配置限流策略,以保护服务器免受过载和恶意攻击的影响,并提高系统的稳定性和可用性。
如何利用nginx处理DDOS进行系统优化详解
weixin_44400506的博客
04-19 222
防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈,下面这篇文章主要给大家介绍了关于如何利用nginx处理DDOS进行系统优化的相关资料,文中通过示例代码介绍的非常详细,需要的朋友可以参考下 前言 众所周知DDoS很常见,甚至被称为黑客圈子的准入技能;DDoS又很凶猛,搞起事来几乎压垮一方网络。 DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应...
nginx实现分布式限流(防DDOS攻击)
a18827547638的博客
07-01 908
1.前言 一般对外暴露的系统,在促销或者黑客攻击时会涌来大量的请求,为了保护系统不被瞬间到来的高并发流量给打垮, 就需要限流 . 本文主要阐述如何用nginx 来实现限流. 听说Hystrix 也可以, 各位有兴趣可以去研究哈 . 2. 首先部署一个对外暴露接口的程序 我这里部署的是一个spring boot 项目 里面暴露了如下接口, 很简单 package com.anuo.app.controller; import org.slf4j.Logger; import org.slf...
Nginx DDOS配置
嗯哼的博客
09-08 308
一. 限制每秒请求数 ngx_http_limit_req_module模块通过漏桶原理来限制单位时间内的请求数,一旦单位时间内请求数超过限制,就会返回503错误。配置需要在两个地方设置: nginx.conf的http段内定义触发条件,可以有多个条件 在location内定义达到触发条件时nginx所要执行的动作 例如 http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip
nginx如何防范ddos攻击
04-25
nginx可以通过以下方式来防范DDoS攻击: 1. 使用nginx的http_limit_conn模块来限制单个IP的连接数。这个模块可以设置每个IP允许的最大连接数,超过限制的连接将被拒绝。这样可以有效地防止CC攻击。配置方法如下[^1]: ```nginx http { limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m; server { location / { limit_conn conn_limit_per_ip 10; # 其他配置项 } } } ``` 2. 使用nginx的http_limit_req模块来限制单个IP每秒的请求数。这个模块可以设置每个IP允许的最大请求数,超过限制的请求将被拒绝。这样可以有效地防止请求过载攻击。配置方法如下: ```nginx http { limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=10r/s; server { location / { limit_req zone=req_limit_per_ip burst=20 nodelay; # 其他配置项 } } } ``` 3. 使用fail2ban来分析nginx的日志,并根据规则判断是否使用iptables拦截攻击者的IP。fail2ban可以根据日志中的异常行为(如频繁访问、错误请求等)来判断是否有DDoS攻击,并自动屏蔽攻击者的IP。配置方法如下: - 安装fail2ban:`sudo apt-get install fail2ban` - 配置fail2ban:编辑`/etc/fail2ban/jail.local`文件,添加以下内容: ```shell [nginx-ddos] enabled = true filter = nginx-ddos action = iptables[name=nginx-ddos, port=http, protocol=tcp] logpath = /var/log/nginx/access.log maxretry = 100 findtime = 60 bantime = 600 ``` - 创建fail2ban的过滤规则:创建`/etc/fail2ban/filter.d/nginx-ddos.conf`文件,添加以下内容: ```shell [Definition] failregex = ^<HOST> .* "GET /.*" ignoreregex = ``` - 重启fail2ban服务:`sudo service fail2ban restart` 4. 使用DDoS Deflate来通过netstat判断IP连接数,并使用iptables屏蔽攻击者的IP。DDoS Deflate是一个脚本工具,可以根据连接数来判断是否有DDoS攻击,并自动屏蔽攻击者的IP。配置方法如下: - 下载DDoS Deflate脚本:`wget https://github.com/jgmdev/ddos-deflate/archive/master.zip` - 解压脚本:`unzip master.zip` - 进入解压后的目录:`cd ddos-deflate-master` - 安装脚本:`./install.sh` - 启动脚本:`./ddos-deflate.sh` 这些方法可以帮助nginx有效地防范DDoS攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值