使用 NGINX 流控和 fail2ban 防止 CC 攻击

最新推荐文章于 2024-08-20 14:42:14 发布
最新推荐文章于 2024-08-20 14:42:14 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: linux

背景知识
CC *
者通过创建大量请求导致服务器资源耗尽,主要针对特定服务接口,属于实现 DoS 的一种方式(DoS *更多是针对网络端口,而不是具体服务接口)。

NGINX 流控
limit_req_zone:通过“漏桶”算法限制每个 IP 发起的请求频率。

limit_conn_zone:限制每个 IP 发起的连接数。

fail2ban
通过匹配服务器日志操作 iptables 来限制客户端网络连接。

实践配置
NGINX 部分
在 http 部分中配置:

limit_req_zone binaryremoteaddrzone=sym:10mrate=5r/s;limitconnzone b i n a r y r e m o t e a d d r z o n e = s y m : 10 m r a t e = 5 r / s ; l i m i t c o n n z o n e binary_remote_addr zone=conn_sym:10m;12
然后在需要流控的 location 部分配置:

limit_req zone=sym burst=5; limit_conn conn_sym 10;12
重启 NGINX 后当有超流客户端请求时将在 NGINX error.log(默认在 /var/log/nginx/error.log) 中看到类似记录:

2017/02/12 18:03:57 [error]15965#15965: *61240 limiting requests, excess: 6.000 by zone “sym”, client: 121.41.106.121, server: hacpai.com, request: “GET / HTTP/1.0”, host: “hacpai.com”1
此时请求已经被 NGINX 限流,但是客户端仍然能够继续发送请求,占用服务器资源。

fail2ban 部分
新建 /etc/fail2ban/jail.d/sym.conf 文件,加入如下内容:

[sym-cc]enabled = trueport = https,httpfilter = symlogpath = /var/log/nginx/*error.logmaxretry = 120findtime = 60bantime = 120action = iptables-multiport[name=Sym, port=”https,http”, protocol=tcp] sendmail-whois-lines[name=Sym, dest=youremail@gmail.com]12345678910
findtime 60 秒内如果有超过 maxretry 120 次匹配到则禁止连接 bantime 120 秒。禁止连接通过操作 iptables 实现 。(要发送邮件,需要安装配置好 sendmail)

重启 fail2ban 后当发生超流时可以在 /var/log/fail2ban.log 中看到类似记录:

2017-02-12 18:01:26,968 fail2ban.actions: WARNING [sym-cc] Ban 121.41.106.1211
另外:

fail2ban-client status、fail2ban-client status sym-cc 可以查看当前禁止信息

fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/sym.conf 可以查看配置匹配情况。

注意事项
fail2ban
服务重启可能较慢,耐心等待

findtime 不要小于 60 秒

action 用 iptables-multiport 同时设置 HTTPS 和 HTTP

可能需要自己手动加入操作系统启动项

如果 NGINX 开了 access_log,其实也可以简单粗暴一点直接将 fail2ban 配置到访问日志上,这样就不用配置 NGINX 流控模块了,不过缺点是失去了“弹性”。

NGINX
上面提到的 NGINX 流控模块的“弹性”主要指的是 limit_req_zone 模块中 burst 和 nodelay 两个参数的组合使用。

rate:按照固定速率“漏请求”给后端服务器

burst:可理解为桶大小,能装多少个请求

nodelay:带了这个参数的话在桶装不下时将请求“全部倒给”后端服务器;如果不带的话请求还是按照速率慢慢漏

日志清理
需要定时清理 NGINX、fail2ban 日志,防止磁盘空间占用过大。

参考
CC *

DoS *

Module ngx_http_limit_req_module

Module ngx_http_limit_conn_module

fail2ban

diyiday
关注
专栏目录
nginx+fail2ban+iptables 服务器安全设置
qq_17054659的博客
09-15 1486
iptables设置 1.操作系统为centos7.2,默认firewalld防火墙,为了后续方便,需禁用firewalld启用iptables 2.#先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #...
Fail2ban防止网站CC
天涯ur的博客
12-13 796
Fail2ban可以通过日志监控操作防火墙规则,来达到屏蔽IP的功能,可以很好的避免SSH暴力破解和网站流量攻击。 安装Fail2ban前,可以先配置Nginx限制IP访问,具体操作请看博客:https://blog.csdn.net/weixin_43566469/article/details/89381216 安装Fail2ban: yum -y install epel-release y...
Nginx + fail2ban 提高安全性
Jerry的灌水乐园
09-21 4367
通过Nginx做web server时,发现error.log中有很多连接尝试,这个时候fail2ban可以比较好的对付这些爬虫,探测程序等。 # Install fail2ban sudo apt-get install fail2ban # Copy jail.conf at /etc/fail2ban/jail.local and edit it. [nginx-nosc
加固系统安全,防范ssh暴力破解之Fail2Ban
最新发布
baimao__Ch的博客
08-20 758
我不认为Fail2Ban是解决安全问题的“银子弹”。但是你不能否认Fail2Ban是一个简单有效的恶意嗅探/暴力攻击的有效的方法。它只需很少的配置,几乎不会给我们的服务器带来任何操作开销。更重要的是,它没有任何成本,除了安装配置所付出的几分钟时间。还犹豫什么呢?学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
谈论Fail2ban+Nginx处理CC攻击和DDOS攻击
大唐锦绣的博客
06-27 1180
Fail2ban 是一款开源的入侵防御软件,用于防止暴力破解和其他形式的恶意攻击。虽然它主要设计用于检测和阻止基于日志的暴力破解尝试,但也可以用于处理低强度的CC(Challenge Collapsar)和部分DDoS(分布式拒绝服务)攻击,特别是在Nginx服务器上。
使用FAIL2BANCC屏蔽高频防问
Anthony的专栏
01-07 909
启动发现fail2ban启动失败,原因是找不到日志文件,发现默认情况下,debian不再有/var/log/auth.log文件,解决办法是安装rsyslog,安装后就有auth.log文件了。这样,Fail2Ban将监控HTTP请求日志,如果检测到某个IP在短时间内发起过多请求,将自动封锁该IP一段时间,从而防范CC攻击。这个规则用于匹配HTTP请求的日志条目,你可能需要根据你的Web服务器日志格式进行调整。然后创建一个自定义的Fail2Ban filter规则,以匹配CC攻击的特征。
Fail2ban详细教程,解决网站被扫描CC攻击、ssh暴力破解、防爬虫等问题
w710537643的博客
02-12 7698
最近网站总是被高频度扫描,导致数据库连接过多,打开页面报“Error establishing a database connection“错误。最开始写了个监控网站的脚本,一旦发现网站打不开,重启数据库就好了。但是这几天网站挂掉的频率越来越高,不得不开始寻找新的办法了。 对于网站被恶意扫描、暴力破解、CC 攻击这一系列攻击,都有相似的特征,即高频率发请求导致主机资源使用率飙高。对于这些问题,必须要做两件事,一个是识别恶意发请求的 IP,并封禁;二个是实现网站缓存、静态化等功能减少数据库查询。今天介...
fail2ban-cloudflare:将fail2ban与Cloudflare API集成
05-08
Fail2ban与Cloudflare API(V4)集成在一起,以使用Nginx和Roboo减轻HTTP泛洪攻击。 要求: Nginx的 Roboo( ) Fail2ban 一个Cloudflare帐户( ) Ruby 1.9.3或更高版本 获取您的Cloudflare API密钥 注册...
使用fail2ban防止爆破SSH vsftpd nginx密码(CentOS7)
qq_19926599的博客
05-25 960
网上关于fail2ban。。。 fail2ban安装 wget https://github.com/fail2ban/fail2ban/archive/0.8.14.tar.gz tar -zxvf 0.8.14.tar.gz cd fail2ban-0.8.14 python setup.py install 启动 systemctl start fail2ban systemctl enable fail2ban 常用命令 请使用fail2ban-client --help查阅 通用配置 配置文件
使用 Fail2ban 防止 ssh 暴力破解攻击
三成的博客
09-20 1439
安全防护
Nginx下limit_req模块burst参数超详细解析
热门推荐
博观而约取,厚积而薄发
11-28 3万+
在学习Nginx的时候遇到了这个问题,百度到了很多博客,大多都讲得不清不楚,在看到了 http://www.wangjingfeng.com/730.html http://cjhust.blog.163.com/blog/static/17582715720111017114121678/ 这两篇博客之后终于疑窦瞬开,在综合了之前看到的博客再加上测试案例之后整理成文。 引言: 漏斗算法...
Nginx 流量控制/限流(原理介绍以及两个实验)
一个认真学习的女孩子的博客
01-24 2550
Nginx 限流是一种用于控制并发连接数或请求速率的机制,旨在保护服务器免受过多的请求影响,防止因请求过载而导致系统性能下降或崩溃。限流是一种流量控制手段,用于限制单位时间内可以通过系统的请求数或连接数。这有助于防止系统超负荷运行,保持系统的稳定性和可用性。在高并发的网络环境中,突然涌入的大量请求可能会超出服务器的处理能力,导致性能下降甚至崩溃。通过限流,可以平滑处理请求,防止服务器不堪重负。在 Nginx 中,限流通常通过 ngx_http_limit_req_module 模块来实现。
nginx流控制与突发流量控制
weixin_43783003的博客
09-22 1316
漏桶算法实现nginx限流与解决突发流量控制
Nginx流控
qq_40907977的博客
06-21 1366
Nginx流控介绍 流量限制(rate-limiting),是Nginx中一个非常实用,却经常被错误理解和错误配置的功能。我们可以用来限制用户在给定时间内HTTP请求的数量。请求,可以是一个简单网站首页的GET请求,也可以是登录表单的POST请求。 流量限制可以用作安全目的,比如可以减慢暴力密码破解的速率。通过将传入请求的速率限制为真实用户的典型值,并标识目标URL地址(通过日志),还可以用来抵御DDOS攻击。更常见的情况,该功能被用来保护上游应用服务器不被同时太多用户请求所压垮。 本篇文章将会介绍Ngin
Nginx简单防御CC攻击的两种方法
cnbird's blog
01-11 1万+
CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以
Nginx介绍
庸医的博客
08-21 2813
Nginx是一个开源且高性能,可靠的http中间件,代理服务。 中间件:可以直接调用操作系统,也可以调用应用。使网站更有层次性,便于开发维护。中间件可以获取web请求,并把请求分发给操作系统或者应用,也可以分发给其他中间件,也可以通过应用发给其他中间件。 开源且高性能,可靠的http中间件,代理服务意味着: 源代码开放,可以通过官网获取源代码,进行二次开发。淘宝就是基于Nginx1.6开发...
nginx环境安装配置fail2ban屏蔽攻击ip
weixin_34395205的博客
12-11 1138
  安装 fail2ban   yum install -y epel-release yum install -y fail2ban 设置 Nginx 的访问日志格式  这个是设置 fail2ban 封禁的关键因素   log_format main '$remote_addr $status $request $body_bytes_sent [$time_local] $ht...
centos下fail2ban安装与配置详解
zimuxin的专栏
05-15 8686
一、fail2ban简介 fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,是不是很好、很实用、很强大! 二、简单来介绍一下fail2ban的功能和特性 1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等 2、支持多种动作。如iptables,tcp-
fail2ban nginx
09-08
当你使用Nginx作为网页服务器时,可以结合使用Fail2Ban来增加安全性。Fail2Ban是一个用于防止恶意登录和暴力破解的工具,它监视日志文件并采取相应的措施来阻止攻击者。 要在Nginx上启用Fail2Ban,你可以按照以下步骤操作: 1. 安装Fail2Ban使用适合你的操作系统的包管理器来安装Fail2Ban。例如,在Ubuntu上可以运行以下命令: ``` sudo apt-get install fail2ban ``` 2. 配置Fail2Ban:编辑Fail2Ban的配置文件 `/etc/fail2ban/jail.conf` 或 `/etc/fail2ban/jail.local`,根据你的系统选择一个文件。在该文件中,你可以定义Fail2Ban监视的日志文件和设置封禁规则。 3. 创建自定义NginxFail2Ban规则:在 `/etc/fail2ban/filter.d/` 目录下创建一个名为 `nginx.conf` 的文件,并添加以下内容: ``` [Definition] failregex = ^<HOST>.*"(GET|POST).*HTTP.*" (444|403|401) ignoreregex = ``` 4. 更新Fail2Ban配置:编辑 `/etc/fail2ban/jail.local` 文件,在 `[DEFAULT]` 部分添加以下内容: ``` [nginx] enabled = true filter = nginx action = iptables[name=nginx, port=http, protocol=tcp] logpath = /var/log/nginx/access.log findtime = 3600 maxretry = 5 ``` 这将启用针对NginxFail2Ban规则,并定义了一些参数,如查找时间(findtime)和最大重试次数(maxretry)。 5. 重启Fail2Ban服务:根据你的操作系统,使用适当的命令重启Fail2Ban服务。例如,在Ubuntu上可以运行以下命令: ``` sudo service fail2ban restart ``` 现在,Fail2Ban将开始监视Nginx的访问日志文件,并根据你在配置文件中定义的规则来封禁恶意IP地址。 请注意,以上步骤仅提供了一个简单的示例配置。你可以根据自己的需求进行定制化设置,例如增加更多的Fail2Ban规则或调整封禁参数。同时,确保你的Nginx日志文件路径与Fail2Ban配置文件中指定的路径一致。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值