十分钟阻断CC攻击——Fail2Ban与Nginx限流实战

于 2025-04-27 14:18:12 发布
阅读量652 收藏 3
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 安全问题汇总 文章标签: nginx 运维 tcp/ip 架构 网络协议 分布式 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NSME1/article/details/147556027
场景描述

服务器遭遇CC攻击,大量恶意请求占用连接资源。通过Fail2Ban动态封禁IP,结合Nginx限流策略,10分钟内恢复服务。

技术实现步骤

1. 配置Nginx请求频率限制
nginx.conf中设置全局限流规则:

http {
    limit_req_zone $binary_remote_addr zone=cc_protection:10m rate=100r/m;
    server {
        location / {
            limit_req zone=cc_protection burst=200 nodelay;
            proxy_pass http://backend;
        }
    }
}

2. 使用Fail2Ban自动封禁恶意IP
创建自定义Jail规则/etc/fail2ban/jail.d/cc_attack.conf

[cc-attack]
enabled = true
filter = nginx-cc
action = iptables-multiport[name=CC, port="http,https", protocol=tcp]
logpath = /var/log/nginx/access.log
maxretry = 50  # 每分钟超过50次请求则封禁
findtime = 60
bantime = 3600

编写过滤器/etc/fail2ban/filter.d/nginx-cc.conf

[Definition]
failregex = ^<HOST> -.*"(GET|POST).*" (499|444) .*$
ignoreregex =

3. 自动化脚本监控与告警
使用Python脚本实时分析Nginx日志并触发封禁:

# monitor_cc.py
import subprocess
from pyinotify import WatchManager, Notifier, ProcessEvent

class CCWatcher(ProcessEvent):
    def process_IN_MODIFY(self, event):
        log_line = open(event.pathname).readlines()[-1]
        ip = log_line.split()[0]
        if "499" in log_line or "444" in log_line:
            subprocess.run(["fail2ban-client", "set", "cc-attack", "banip", ip])

wm = WatchManager()
notifier = Notifier(wm, CCWatcher())
wm.add_watch('/var/log/nginx/access.log', 0x02)  # 监控文件修改事件
notifier.loop()
恢复效果
  • 0~3分钟:Nginx限流生效,恶意请求被延迟或丢弃。
  • 4~7分钟:Fail2Ban动态封禁高频IP,释放服务器资源。
  • 8~10分钟:服务响应时间恢复正常,生成攻击日志报告。
方案优势
  • 零成本:完全依赖开源工具(Nginx + Fail2Ban)。
  • 高灵活性:支持自定义规则匹配复杂攻击模式。
  • 低误杀率:基于请求状态码(如499)精准识别攻击。
博客
【图文详解】阿里腾讯华为云服务器被攻击后更换服务器IP操作步骤合集
01-31 2710
你是否需要因为更换服务器IP的教程太杂苦恼,本文直接总结三大云的更换IP步骤,需要可收藏,全部附带原文链接
博客
【图文详解】阿里云服务器放行高防IP加入安全组
01-29 1249
如何快速在阿里云云服务器中将配置的高防IP配置放行安全组,看这篇告诉你
博客
【图文详解】腾讯云服务器怎样配置高防IP?看这一篇就行!
01-26 1315
腾讯云如何配置高防IP,小白必看。
博客
深度隐匿源IP:高防+群联AI云防护防绕过实战
07-16 240
群联AI云防护的弹性调度能力,在实测中实现800Gbps攻击下的50ms低延迟响应,成为游戏、金融等高危场景的首选。:动态IP池+TLS指纹库技术,可识别5万台伪装设备,加密攻击拦截率提升至89%。关键结论:真正的防护需覆盖。
博客
DNS防护实战:用ipset自动拦截异常解析与群联AI云防护集成
07-16 188
DNS服务器常成为黑客探测源IP的首选目标。攻击者通过高频DNS查询获取解析记录,或利用异常请求触发服务器响应,从而定位源站IP。传统单IP拦截效率低下,难以应对分布式攻击。:其AI模型在测试中实现0.8秒恶意IP识别,比传统方案快12倍,同时降低89%误拦截率。
博客
隐藏源IP的核心方案与高防实践
07-14 928
【代码】隐藏源IP的核心方案与高防实践。
博客
黑客如何定位服务器真实IP?3种技术手段解析
07-14 357
通过动态IP池技术,自动轮转出口IP,结合AI行为分析拦截扫描请求。
博客
当每秒10万请求来袭:高防架构下的SQL注入歼灭战
07-11 263
【代码】当每秒10万请求来袭:高防架构下的SQL注入歼灭战。
博客
你的数据库正在“裸奔”?SQL注入致命漏洞实战防御
07-11 399
可自动识别未参数化的SQL查询,实时阻断注入攻击并生成修复建议,降低历史代码改造风险。其机器学习模型对新型注入模式的拦截率达99.2%(基于OWASP测试集)。攻击者通过构造恶意SQL语句,可绕过认证、窃取核心数据甚至获取服务器控制权。当应用存在遗留代码或复杂业务场景时,建议采用。2023年Verizon数据泄露报告显示,:群联AI云防护系统内置。
博客
服务器深夜告警?可能是攻击前兆!
07-10 537
这种资源被“悄悄”耗尽的攻击,往往比直接的流量洪峰更难察觉,危害却同样巨大。本文将深入探讨这类资源消耗型攻击的原理,并提供一个实用的监控脚本,助你早发现、早处置。,确保在面对超大流量冲击时,源服务器的核心资源(带宽、连接处理能力)不被耗尽。只有将监控、智能应用防护和高防清洗有机结合,才能让你的服务器在复杂的网络环境中保持健康稳定,远离“深夜告警”的困扰。这类攻击的核心不是瞬间打垮网络带宽,而是通过持续消耗服务器关键资源(CPU、内存、进程数、磁盘IO、数据库连接),导致服务逐渐不可用。
博客
为什么你的服务器总被攻击?运维老兵的深度分析
07-10 567
作为运维人员,最头疼的莫过于服务器在毫无征兆的情况下变得异常缓慢、服务中断,甚至数据泄露。然而,面对日益复杂和隐蔽的攻击手段,这里提供一个简单的Python脚本,用于分析Nginx访问日志,快速找出请求频率异常高、请求状态码异常(如大量404/403可能扫描)、或请求特定可疑路径的IP地址。手动或脚本分析日志是事后追溯的重要手段,但对于实时拦截攻击、缓解大规模或复杂的攻击(如高频DDoS、0day漏洞利用)则力不从心。,才是构建全方位、主动式安全防护体系,让服务器真正摆脱“莫名其妙”被攻击困扰的治本之道。
博客
为什么高并发攻击能瞬间击垮传统CDN?
07-09 830
群联高防IP服务通过BGP线路与CDN深度整合,在最近的边缘节点完成攻击清洗。某金融平台接入后,成功抵御了持续 3 天的 650Gbps 混合攻击,业务零中断。
博客
三网BGP服务器——CDN加速的底层基石
07-09 321
群联AI云防护的BGP智能调度系统,通过实时分析全网延迟数据,动态优化路由策略。实测将跨网访问延迟降低至 20ms 以内,丢包率控制在 0.5% 以下。其多线接入能力支撑了日均 3000 万次智能路径切换。当电信用户访问联通机房的资源时,平均延迟高达 120ms 以上,而跨网丢包率可达 15%。传统单线机房导致 30% 的用户体验直接下降。
博客
构建分布式高防架构实现业务零中断
07-07 255
摘要:针对TCP连接耗尽攻击的防护痛点,提出多节点负载均衡与协议栈优化方案。通过Nginx配置SYN Cookie防护、连接速率限制及高防IP集群部署,结合Linux内核参数调优(SYN Cookie强制启用、半连接队列扩容等),实现高效防护。群联高防IP方案具备Anycast BGP智能调度、WebSockets全兼容和业务级防护策略三大优势,实测可稳定承受持续攻击(如某交易所32天攻击期间延迟保持15ms内)。该方案有效解决单一高防IP的连接池挤占问题。
博客
基于流量特征分析的DDoS实时检测与缓解实战
07-07 290
当Web服务器突发大量SYN Flood攻击时,传统防火墙难以区分真实用户与伪造流量,导致业务中断。实测数据:某电商平台接入后,成功抵御580Gbps的Memcached反射攻击,误杀率低于0.01%通过统计学习建立正常流量基线,实时拦截异常连接。
博客
抗百倍流量冲击:IM系统DDoS防护架构设计
06-30 230
某游戏语音平台遭300Gbps UDP洪水攻击,导致IM服务不可用长达2小时。传统防火墙因状态表耗尽崩溃。实际效果:某直播平台接入后成功抵御2.3Tbps混合攻击,服务可用性保持99.99%
博客
IM接口密钥轮换实战:阻断黑客的“万能钥匙”攻击
06-30 217
某社交APP因静态API密钥泄露,黑客伪造请求批量爬取用户聊天记录。静态密钥一旦暴露,相当于将服务器大门钥匙交给攻击者。
博客
游戏App前端安全加固:利用AI云防护技术抵御恶意攻击
06-26 933
文章摘要:介绍了前端敏感操作的安全防护方案,包括会话初始化、请求签名机制及可视化防御监控。通过JavaScript代码示例展示了加密请求流程和实时攻击数据可视化展示。同时描述了专业级防御架构,结合群联高防IP体系实现多层防护,有效抵御大规模攻击并快速响应漏洞。建议开发者优先保护关键接口,利用AI防护与自动学习能力提升系统安全性。
博客
前端安全防护实战:如何保护你的游戏App免受DDoS攻击
06-26 475
当客户端防护不足以应对复杂攻击时,我们引入了。
博客
守护API可用性:全面对抗DDoS与CC洪水攻击策略
06-23 779
分布式拒绝服务(DDoS)和针对应用层的CC(Challenge Collapsar)攻击,旨在耗尽服务器资源(带宽、连接数、CPU),使合法用户无法访问。在应用层,利用Nginx的限速、限连接、IP黑名单等手段,能有效缓解小规模CC攻击和资源消耗型攻击。凭借其超大带宽资源、智能清洗技术和全球分布式节点,为您的API提供坚不可摧的网络层防护盾牌,确保即使在汹涌的攻击洪流下,合法用户依然能顺畅访问。CC攻击通常模拟大量“合法”HTTP请求(如频繁查询、刷新),消耗服务器资源(CPU、数据库连接、内存)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值