nginx防御ab,webbench,jmeter攻击

最新推荐文章于 2024-02-29 14:06:24 发布
最新推荐文章于 2024-02-29 14:06:24 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: php学习 文章标签: ab测试

 类似于ab,webbench,jmeter等这种压力测试工具,也是一种攻击方式,通过制造大量的并发请求,耗尽服务器资源。

对于一般中小型网站,很可能一句 webbench -c 30000 -t 500 http://hostname/就能让服务器挂掉.

该如何防御?

原理是通过http_user_agent 来判断。

apache ab的http_user_agent 为ApacheBench

webbench的http_user_agent 为WebBench

我的机器的配置:国外VPS  单核1G内存

下面直接贴nginx配置

QQ截图20130906164509.jpg

java/表示jmeter的user_agent

 

下面用apache 的ab测试一下

apacheab.jpg

 

查看access日志

apachetail.jpg

可以看到,所有apache ab生成的请求全部被挡掉了。

 

下面看看webbench的:

webbenched.jpg

查看access日志

webbenchtail.jpg

[1] [2]  下一页

aiwuhui03
关注
专栏目录
渗透测试:通过Jmeter实现CSRF跨站请求伪造攻击
songqinxiaoming的博客
06-28 862
首先介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击攻击过程 生成cookie:用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; 获取cookie:攻击中构建一条恶意网站web2的链接,受害者打开恶意链接后,将把本地保存的cookie信息送到恶意网站web2; 伪造攻击:网站web2通过收到的用户A的cookie值,向
综合架构web服务之nginx详解
embelfe_segge的博客
03-07 889
文章目录 nginx 服务配置详细介绍 关于作者 前言 一、nginx web 入门简介 1.1 什么是nginx 1.2 常见的网站服务 1.3 nginx 网站服务特点 1.4 网站页面访问原理 二、nginx 服务部署安装 2.1实验环境 2.2 YUM 安装 2.3 源码编译安装 2.4 nginx重要文件目录结构 2.5 虚拟主机介绍及配置 2.5.1利用nginx服务搭建一个网站(www) 2.5.2 location介绍、location 访问控制及 优雅404显示 2.
nginx压力测试止恶意压力测试的方法
热门推荐
求人不如求己,思考才能进步!
07-18 3万+
nginx压力测试方法: #ab命令 #安装ab #Centos系统 yum install apr-util #Ubuntu系统 sudo apt-get install apache2-utils #ab命令的参数 -n //在测试会话中所执行的请求个数。默认为1 -c //一次产生的请求个数。默认为1 -t //测试所进行的最大秒数。默认值为50000 -p //包含了需要的POST的数据
Nginx攻击工具教程一 ngx_http_limit_conn_module
汪翰翔的Blog
04-17 7816
要限制用户的连接数可以通过Limit zone模块来达到目的,即限制同一用户IP地址的并发连接数。    该模块提供了两个命令limit_zone和limit_conn,其中limit_zone只能用在http区段,而limit_conn可以用在http, server, location区段。 示例配置    http { limit_zone one $binary_re
Nginx http_user_agent 防御 ab
weixin_30474613的博客
05-31 130
日志出现大量: xxxxxxxxxxxxx - - [04/Jul/2013:23:37:49 +0800] "GET /1000.html HTTP/1.0" 200 56471 "-" "ApacheBench/2.3" - xxxxxxxxxxxxx - - [04/Jul/2013:23:37:49 +0800] "GET /1000.html HTTP/1.0" 200 56471 ...
apache与nginx防御webbench等工具攻击
RobertXin
09-04 297
webbench是一个普遍的压力测试工具 webbench -c 1000 -t 30 url  大量的并发,耗费服务器资源。导致打开url缓慢,甚至服务器down机。   通过access.log日志可看到: 首先,先诅咒攻击的人天天吃饱了没事干 其实:apache与nginx可以通过http_user_agent这个系统变量来做处理   apache添加rewrite规则...
jmetter持续时间_【转】Jmeter做web压力测试时设置持续时间注意点
weixin_34755543的博客
01-14 1347
头一回使用jmeter做web的压力测试,遇到个很莫名其妙的问题,不管我的线程组怎么设置,它就是执行一次就结束了。设置循环次数为300,不使用调度器--〉执行一次就结束了,循环次数未生效设置循环次数永远,设置高度器的开始和结束时间,不使用延迟和持续--〉开始时间有效,执行一次就结束了,结束时间未生效设置循环次数永远,设置延迟1秒,持续1200秒--〉延迟1秒执行,执行一次就结束了,持续时间未生效不...
测试服务器并发能力的工具webbench
salutlu的专栏
09-13 7540
Webbench是一个非常简单的压力测试工具,Webbench最多可以模拟3万个并发连接去测试网站的负载能力。  (1)Webbench安装  wget http : //www.phpddt.com/soft/linux/webbench-1.5.tar.gztar zxvf webbench - 1.5 . tar . gzcd webbench - 1.5makemake ins
epoll服务器压力测试,meter压力测试 设置一秒发送一次请求,一秒两次请求
weixin_33669545的博客
07-31 989
使用jmeter进行压力测试测试情况有1.一秒钟投1次请求(一个线程) 持续30分钟的情况2.一秒钟发送2次请求(两个线程) 持续30分钟的情况下面说一下如何使用jmeter 测试这两种情况第一种情况在线程组里面设置线程数为1,ramp-up period(in seconds)为1, 循环次数为:1800,如图循环次数为:1800说明:一共执行的次数,因为是一秒一次 设置成1800就是执行...
渗透测试:通过Jmeter实现CSRF(Cross-site request forgery)跨站请求伪造攻击
qq19970496的博客
09-19 2851
首页介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击攻击过程如下: **生成cookie:**用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; **获取cookie:**攻击中构建一条恶意网站web2的链接,...
压力测试攻击 http_load
Terry - 专注外贸B2C
01-23 630
1. 下载地址:http://acme.com/software/http_load/ wget http://acme.com/software/http_load/http_load-14aug2014.tar.gz tar zxvf http://acme.com/software/http_load/ make make install 33.txt 里面写上地址:然后: ./htt
高并发下jmeter性能压测及性能提升解决方案(二)nginx反向代理负载均衡
xy294636185的博客
07-12 1352
单机容量问题: 随着并发量提高,单机cpu使用率增高,memory占用增加,网络带宽使用增加。 解决: 需要水平扩展,做nginx反向代理+负载均衡策略,把同一个域名代理到多个不同的application服务器上。就要把后端的tomcat服务器集群以一个统一的域名暴露出去。 如上图架构,就需要四台虚拟机来做水平扩展,一台用于nginx反向代理,一台用于mysql,两台用于jar。 注意设置数据库的远程访问权限: grant all privileges o...
nginx 限流
qq_47955559的博客
03-31 254
nginx 限流nginx 限流一、 Jmeter使用入门二、限制某一IP每秒访问次数三、限制某一IP瞬间并发量 nginx 限流 一、 Jmeter使用入门 Apache Jmeter是Apache组织开发的基于Java的压力测试工具。用于对软件做压力测试,它最初被设计用于 Web应用测试,但后来扩展到其他测试领域。它可以用于对静态的和动态的资源的性能进行测试。也可以用 于对服务器、网络或对象模拟繁重的负载来测试它们的强度或分析不同压力类型下的整体性能。你还可以使 用它做性能的图形分析或在大并发下负载测
jmeter使用
perfect88888的博客
04-22 656
windows漏洞多,安全性差, linux下明显内核健全一点 都是字符界面比图形界面响应快,不易死机啊。数据量处理是有优势的。 经常用每秒查询率来衡量域名系统服务器的机器的性能,其即为QPS。 QPS = 并发量 / 平均响应时间 并发量 = QPS * 平均响应时间 流量大的时候用压测,单击QPS负载情况如何 常见的压测工具有jmeter、loadrunner不过以前用loadru...
配置Nginx解决http host头攻击漏洞
最新发布
cai454692590的博客
02-29 1573
一定要注意 if后面要有空格。
Http host 标头攻击
weixin_42451330的博客
06-27 7617
HTTP Host 标头攻击是一种网络安全攻击技术,利用了 HTTP 协议中的 Host 标头字段的漏洞。Host 标头字段用于指定客户端请求的目标主机名或域名。攻击者可以通过构造恶意的 HTTP 请求,伪造或篡改 Host 标头字段的值,从而欺骗服务器,让服务器误以为请求是针对其他主机或域名的。
网站安全配置(Nginx)止网站被攻击(包括使用了CDN加速之后的配置方法
liangpz521的技术资料库
07-16 2319
网站被攻击是一个永恒不变的话题,网站攻击的方式也是一个永恒不变的老套路。找几百个电脑(肉鸡),控制这些电脑同时访问你的网站,超过你网站的最大承载能力,然后你就瘫了。方法虽然老土,但却一直都很管用,就像怎么打败美帝国主义,最简单的方法就是 13 亿中国人都移民去美帝,吃他的、用他的、花他的,直接能让美帝破产,压根不需要用武力。土方法,自然解决这个问题的方法也土,就是设置一个海关,控制进入的人口数量,只要不让你进来太多人,你就吃不穷他。 网站也一样,只要控制能够进入的访问数量,你就攻击不了我。
iis 解决http host头攻击漏洞
qq_31949853的博客
04-22 1万+
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 web应用程序应该使用SERVER_NAME而不是host header。 在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非...
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 8917
host头攻击漏洞,点击劫持漏洞,X-Download-Options响应头缺失,X-Permitted-Cross-Domain-Policies响应头缺失,Referrer-Policy响应头缺失,Strict-Transport-Security响应头缺失,Content-Security-Policy响应头缺失,X-XSS-Protection响应头缺失,X-Content-Type-Options响应头缺失,会话cookie中缺少HttpOnly属性......
Nginx服务器防御CC攻击配置详解
"本文介绍了如何使用Nginx服务器配置来抵御CC攻击,包括CC攻击的基本原理、以前的防御方法以及为何硬难以止CC攻击。文章提出了通过验证浏览器行为的策略来有效防御CC攻击,并提供了Nginx配置示例。" 在Nginx...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值