Nginx漏洞修复_检测到目标主机可能存在缓慢的http拒绝服务攻击(1)

最新推荐文章于 2024-08-16 14:19:17 发布
最新推荐文章于 2024-08-16 14:19:17 发布
阅读量763 收藏 6
点赞数 5
分类专栏: 程序员 文章标签: nginx http 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968016/article/details/138775923
版权

server_tokens off;
add_header X-Frame-Options SAMEORIGIN;
add_header X-XSS-Protection ‘1;mode=block’;
add_header X-Content-Type-Options nosniff;

在这里插入图片描述

检测到目标主机可能存在缓慢的HTTP拒绝服务攻击

1、在Nginx配置文件的http标签中增加以下参数

http{
	...
	#指定每一个 TCP 链接最多能够保持多长时间
	keepalive_timeout  60;  
	#为请求头分配一个缓冲区
	client_header_buffer_size 1m;
	#此指令规定了用于读取大型客户端请求头的缓冲区的最大数量和大小
	large_client_header_buffers 4 8k;
	#此指令禁用NGINX缓冲区并将请求体存储在临时文件中
	client_body_in_file_only clean;
	limit_conn_zone $binary\_remote\_addr zone=addr:10m;
	limit_req_zone $binary\_remote\_addr zone=one:10m rate=200r/s;
	...
}

1、在Nginx配置文件的server 标签中增加以下参数

http{
	server {
		...
		
		limit_conn addr 5;
		limit_req zone=one burst=5 nodelay;
		#服务端向客户端传输数据的超时时间
		send_timeout 30s;
		#设置NGINX能处理的最大请求主体大小
		client_max_body_size 2M;
		#请求头分配一个缓冲区
		client_body_buffer_size 16k;
		#指定客户端与服务端建立连接后发送 request body 的超时时间
		client_body_timeout 20s;
		#客户端向服务端发送一个完整的 request header 的超时时间
		client_header_timeout 10s;
		#该指令设置NGINX将完整的请求主体存储在单个缓冲区中
		client_body_in_single_buffer on;
		#此指令指定存储请求正文的临时文件的位置
		client_body_temp_path 1 2;
		
		...
	}
}
检测到目标URL存在http host头攻击漏洞

多个合法Host头可用空格隔开:www.xxxx.com www.cccc.com 127.0.0.1

http{
	server {
		...
		#使用server\_name指令指定预期的合法Host头
		server_name www.xxxx.com
		...
	}
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/56cdac3611aabb83d13f6e534409ef9d.png)

![img](https://img-blog.csdnimg.cn/img_convert/0b868563d5705b2cb199c50e7f7f2ccc.png)

![img](https://img-blog.csdnimg.cn/img_convert/5aab7f7477b940b4d552438b5fa03a6f.png)

![img](https://img-blog.csdnimg.cn/img_convert/28c99d107a9bb58f1673cd43d3446793.png)

![img](https://img-blog.csdnimg.cn/img_convert/0f46774c3e43af88014fc04d623222c1.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84968016
关注
专栏目录
改变您的HTTP服务器的缺省banner CustomHttpModules_4.0.dll
08-24
可能使得攻击者了解远程系统类型以便进行下一步的攻击。 解决方案 NSFOCUS建议您采取以下措施以降低威胁 打开网页,审查代码,我们发现这几个标头明显标明我们的服务器和平台信息,存在安全风险,必须要隐藏...
Nginx 配置防护 缓慢HTTP拒绝服务攻击+点击劫持:X-Frame-Options未配置
tonyhi6的博客
06-07 1253
缓慢HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。1 检测目标主机可能存在缓慢HTTP拒绝服务攻击。三 点击劫持:X-Frame-Options未配置。2 再次测试,服务器查看资源使用情况。1 修改nginx配置文件。二 修改nginx配置。
Nginx漏洞修复_检测目标主机可能存在缓慢http拒绝服务攻击
2401_83739727的博客
04-18 672
Nginx的配置文件中的 server 标签内增加一下配置。1、在Nginx配置文件的server 标签中增加以下参数。1、在Nginx配置文件的http标签中增加以下参数。去掉在请求响应头中存在的信息。
检测目标URL存在http host头攻击漏洞
ruanjian_kj的博客
08-16 747
nginx 的 default_server 指令可以定义默认的 server 去处理一些没有匹配到 server_name 的请求,如果没有显式定义,则会选取第一个定义的 server 作为 default_server。若请求不是指定的url,一律返回403。
检测目标主机可能存在缓慢HTTP拒绝服务攻击
dong__xue的博客
02-22 1万+
缓慢HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一
Web 项目中常见的漏洞
普罗旺斯
06-18 3047
攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。所以我们应该尽量的设置MIME类型,然后禁用MIME嗅探的行为。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。缓慢HTTP拒绝服务攻击时一种专门针对Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务
Nginx漏洞修复
乾坤鸟的博客
12-01 3111
Nginx的配置文件中的 server 标签内增加一下配置。去掉在请求响应头中存在的信息。 Server: nginx X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1;mode=block
检测目标主机可能存在缓慢http拒绝服务攻击
weixin_43135696的博客
03-04 6044
#tomcat慢速HTTP拒绝服务攻击安全问题解决办法 修改Tomcat 配置文件 server.xml 中的 <Connector … /> 配置中,设置connectiontimeout值,默认为20000ms,修改为8000ms <Connector port="8080" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="100"
nginx版本号1.22.1, 包含Windows和Linux两个版本
02-18
解压后,你可以直接将Nginx服务添加到系统服务中,以便于管理和启动。这可以通过运行`nginx.exe`并使用`-install`参数完成: 1. 解压缩文件到任意位置,比如`C:\nginx-1.22.1`. 2. 打开命令行,导航到Nginx解压目录...
nginx源码包(nginx+pcre+openssl+zlib)
11-23
1. **安全性**:修复了已知的安全漏洞,以防止中间人攻击和其他网络安全威胁。 2. **性能优化**:可能对加密算法进行了优化,提高了加解密速度。 3. **API 更新**:提供了新的 API 功能或改进了现有 API 的行为。 4....
nginx-1.22.0
01-08
Nginx 1.22.0 可能包含了对先前版本中的安全漏洞修复,确保了服务器免受潜在攻击。 - 新版本通常会引入性能优化,比如更快的响应速度和更低的资源消耗,从而提高用户体验。 - 更新到最新版本可以获取最新的功能...
服务器存在缓慢HTTP拒绝服务攻击
热门推荐
LiBai'S BLOG
08-23 2万+
详细描述 缓慢HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTT
绿盟扫漏出现的Web常规漏洞
一只咕咚的博客
03-10 4923
整理一下最近修复漏洞 ==== =环境:Java、tomcat、Linux==== 1、目标URL存在http host头攻击漏洞 解决方案: (1)将tomcat升级到7及以上版本 (2)修改tomcat中/conf/Server.xml配置文件 将host 节点里面 name名称改为域名,appBase:应用的目录 (3)Linux上增加hostname Vi /etc/hosts 修改好确保有成功 ping hostname (4)用burpsuite验证
http攻击 ,用nginx解决
zheyijieyou的博客
08-01 7066
攻击解决方案
PAS安全:绿盟软件扫描,报“检测目标主机可能存在缓慢HTTP拒绝服务攻击漏洞如何解决?
py_doc的博客
08-10 1582
绿盟软件扫描PAS6.5,报"检测目标主机可能存在缓慢HTTP拒绝服务攻击"漏洞如何解决?
缓慢HTTP拒绝服务攻击
qq_20867981的博客
05-14 7475
slow_Http_DoS解决方案: 原理:通过并发连接池进行的慢速读攻击(基于TCP持久时间)等。慢速攻击基于HTTP协议,通过精心的设计和构造,这种特殊的请求包会造成服务器延时,而当服务器负载能力消耗过大即会导致拒绝服务 解决方案: 1 设置Tomcat / server.xml文件 connectiontimeout 值,默认为20000ms,修改为8000ms(Tomcat 自身...
Nginx,检测目标主机可能存在缓慢HTTP拒绝服务攻击,绿盟扫描,怎么修复,请给出具体配置
最新发布
09-21
Nginx是一款流行的开源Web服务器,但也常用于反向代理和其他网络服务。如果检测目标主机遭受缓慢HTTP拒绝服务(DoS)攻击,通常绿盟这样的安全扫描系统会发出警报。为了修复这种情况并提高服务器性能,可以采取以下几个步骤调整Nginx配置: 1. **增强连接限制**: - 使用`limit_conn_zone`指令创建一个区域来存储每个IP地址的最大并发连接数。例如: ``` limit_conn_zone $binary_remote_addr zone=conn_limit:10m; server { listen 80; limit_conn conn_limit max=$limit_conn_zone; } ``` 这里设置了每个IP地址最多只能有10MB的连接数。 2. **请求速率限制**: - 添加`limit_req_zone`来限制单个IP地址的请求数率: ``` limit_req_zone $binary_remote_addr zone=rate_limit:10r/m; server { location / { limit_req zone=rate_limit burst=3 nodelay; } } ``` 每分钟允许10次请求,超过这个次数则暂时禁止访问。 3. **启用日志记录和监控**: - 配置Nginx的错误日志,以便详细跟踪可疑活动: ``` error_log /var/log/nginx/restrictions.error.log crit; ``` 使用工具如syslog-ng或ELK Stack对日志进行分析。 4. **黑/白名单机制**: - 如果确定某些来源是恶意的,可以在`access_log`中添加检查规则,将它们加入黑名单,并在必要时返回适当的HTTP状态码,如429 Too Many Requests。 5. **防火墙策略**: - 联合系统防火墙,仅允许来自已知良好来源的流量,并封锁其他可疑IP。 记得定期检查Nginx的错误日志,更新安全规则,并根据实际情况调整限制阈值。同时,保持软件到最新版本,修复已知的安全漏洞也很重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值