NGINX根据客户端真实ip限制/referer限制

已于 2022-12-01 09:38:28 修改
阅读量4.3k 收藏 3
点赞数
分类专栏: linux 文章标签: nginx 运维 服务器
于 2022-11-29 20:04:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jnloverll/article/details/128103837
版权

最近后端服务被攻击,所有接口被疯狂调用,记录一次nginx应对攻击的方案,包括黑白名单、referer限定等。

一、NGINX根据用户真实IP限源

1、nginx日志打印

在nginx.conf配置文件中的http模块打印

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

2、NGINX根据用户真实IP限源

同样在http模块中,将客户端真实ip记录在X-Forwarded-For中

#配置使deny可以根据客户端真实ip禁用
real_ip_header X-Forwarded-For;
set_real_ip_from 0.0.0.0/0;
real_ip_recursive on;

ngx_http_realip_module 模块有如下三个指令;

①:set_real_ip_from

  • 该指令用于设置授信 IP,即请求过来时由某个头字段携带的 IP 中 nginx 自己认为可信的 IP,该头字段由 real_ip_header 指令指定;
  • 该指令值一般是前几层代理的 IP ;

②:real_ip_header

  • 该指令用于告知 nginx 从每个客户端请求中的哪个头字段来获取客户端真实的 IP;
  • 该指令默认值是 X-Real-IP,不过现在主流的都是通过 X-Forwarded-For 字段来获取客户端真实 IP,X-Forwarded-For 目前已经是主流运用的字段了;
  • 我们也可以在 nginx 配置时自定义一个新的字段;

③:real_ip_recursive

nginx 从 real_ip_header 指令指定的头字段中获取 IP,可能会有多个 IP 值;

  • 当 real_ip_recursive 指令值为 off,nginx 从获取到 IP 值中从右往左(也即从后往前)的顺序,以最后一个 IP 值作为客户端的真实 IP ,此时不会排除授信 IP;
  • 当 real_ip_recursive 指令值为 on,nginx 从获取到 IP 值中从右往左(也即从后往前)的顺序,排除 set_real_ip_from 指令指定的授信 IP,以最后一个非授信 IP 值作为客户端的真实 IP ;

3、NGINX的黑白名单deny/allow

经过slb的请求默认会将真实ip放在$http_x_forwarded_for中,根据日志中打印出的攻击ip进行禁用,同样在http模块中。

#禁用某个ip
deny 123.123.123.123;
#禁用某个ip段
deny 123.123.123.0/24;
#禁用全部ip
deny all;

Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。

语法
1、allow 指令
        允许哪些 IP 访问,all 表示允许所有;
2、deny 指令
        禁止哪些 IP 访问,all 表示禁止所有;
作用域 http / server / location / limit_except ;

二、nginx根据referer限制

根据nginx日志中打印的$http_referer来进行限制

1、Nginx Referer模块

nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求。当一个请求头的Referer字段中包含一些非正确的字段,这个模块可以禁止这个请求访问站点。构造Referer的请求很容易实现,所以使用这个模块并不能100%的阻止这些请求。

2、valid_referers 指令

语法: valid_referers none | blocked | server_names | string … ;

配置段: server, location

指定合法的来源'referer', 他决定了内置变量$invalid_referer的值,如果referer头部包含在这个合法网址里面,这个变量被设置为0,否则设置为1. 需要注意的是:这里并不区分大小写的.

参数说明:

none:请求头缺少Referer字段,即空Referer
blocked:请求头Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开头,通俗点说就是允许“http://”或"https//"以外的请求。
server_names:Referer请求头白名单。
arbitrary string:任意字符串,定义服务器名称或可选的URI前缀,主机名可以使用*号开头或结尾,Referer字段中的服务器端口将被忽略掉。
regular expression:正则表达式,以“~”开头,在“http://”或"https://"之后的文本匹配。

e.g.


server {
    ......
    #配置合法referers,其余拦截
    #微信小程序域名:servicewechat.com  浙里办域名:mapi.zjzwfw.gov.cn
    valid_referers blocked servicewechat.com mapi.zjzwfw.gov.cn Apifox;
    if ($invalid_referer) { 
	    return 403 ; 
    } 
    ......
}

上面配置合法的Referer为 servicewechat.com / mapi.zjzwfw.gov.cn / Apifox 和 无Referer(浏览器直接访问,就是没有Referer的) ; 其他非法Referer请求过来时, $invalid_referer 值为1 , 就return 403。

Thomas灬Wade
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Nginx配置referer校验,实现简单的防盗链
打杂员工的博客
11-05 1万+
1、Nginx Referer模块 nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求。当一个请求头的Referer字段中包含一些非正确的字段,这个模块可以禁止这个请求访问站点。构造Referer的请求很容易实现,所以使用这个模块并不能100%的阻止这些请求。 2、valid_referers 指令 语法: valid_referers none | blocked | server_names | string … ; 配置段: server, locati
php绕过refer,GET请求Referer限制绕过总结
weixin_35679869的博客
03-20 853
前言在做测试的时候会遇见这样几个漏洞场景:JSONP跨域劫持反射XSSGET请求类型攻击但是,在相对安全的情况下,都会有Referer(HTTP请求头)的限制。那么该如何去做绕过呢?正文什么是Referer?Referer是请求头的一部分,假设A站上有B站的链接,在A站上点击B站的链接,请求头会带有Referer,而Referer的值为A站的链接;这也就是为什么上文所说的场景,遇见了Referer...
控制访问来源:Nginx Referer 模块
最新发布
你知道莽村的莽怎么来的吗!
05-29 1174
在 HTTP 请求头中,Referer 是一个标头字段,用于指示请求的来源页面的 URL。当用户点击链接访问网页时,浏览器通常会在发送请求时包含 Referer 头。Referer 的存在使得服务器可以知道用户从哪个页面链接过来的。
nginx referer限制
热门推荐
gqdw
02-14 2万+
nginx referer限制正确的使用姿势.
nginx基于$http_referer的访问控制
qq_34953582的博客
09-09 988
nginx基于$http_referer的访问控制
nginx 限制请求源
wanglei_storage的博客
01-13 334
nginx限制请求源
【Web】限制User-Agent/ 限制referer
weixin_44715742的博客
08-10 1243
前言 请求头headers是我们请求网页时携带的信息,有一些网站会根据headers来判断请求是不是爬虫,我们需要通过伪造headers来绕过这种反爬机制Headers之User-Agent包括的内容如下: user-agent基本介绍 随机UA 设置UA的库fake-user agent 定义 User-Agent 指谁来替代我们访问网站的。如果它对应的是requests库,那么对方网站就可以直接看出你是请求而拒绝这次请求。 随机UA 如果要频繁抓取一个网页,每次都设置一样的UA,这也会被网站怀疑,因
基于Nginx实现访问控制、连接限制
09-29
Nginx的`limit_conn_module`模块用于限制来自同一客户端的并发连接数。例如,以下配置限制每个IP最多只能有10个并发连接: ``` http { limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m; ...
nginx做反向代理时的真实IP_nginx反向代理_
10-02
Nginx接收到客户端请求时,我们可以配置Nginx客户端IP添加到`X-Real-IP`头部,然后在后端服务器的处理逻辑中读取这个头部。 以下是配置Nginx反向代理获取真实IP的步骤: 1. 打开Nginx配置文件(通常是 `/etc/...
nginx配置文件-安装客户端ip进行转发
08-23
在本场景中,我们要探讨的是如何通过Nginx配置文件实现客户端IP的转发功能,这对于网站访问日志分析、安全策略实施以及负载均衡等都有着重要的作用。我们将主要分析两个配置文件:`nginx.conf`和`default.vhosts....
nginx负载均衡后如何记录来访者IP访客IP浏览者的IP
01-05
在这个过程中,原始的客户端IP(即用户IP)会被Nginx服务器IP所取代。因此,后端服务器的日志中记录的IPNginxIP,而不是真实的用户IP。 解决这个问题的一种常见方法是通过Nginx配置中的`proxy_set_header`...
Nginx设置Referer来防止盗图的实现方法
09-29
主要介绍了Nginx设置Referer来防止盗图的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx-1.24.0
02-07
Nginx 可以配置多个 `server` 块,实现虚拟主机功能,根据 Host 头部或 IP 地址区分不同站点。例如: ```nginx server { listen 80; server_name example.com; # 相关配置... } server { listen 80; server_...
nginx下防盗链利用referer指令来实现的方法介绍
weixin_44400506的博客
01-23 1396
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求,我们应该牢记。下面这篇文章主要介绍了nginx利用referer指令实现防盗链配置的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧。   实现图片防盗链:   location ——* .(gif|jpg|png|webp)$ {   valid_referers none blocked domain...
关于nginx屏蔽referer的坑
plkiop911的博客
12-30 4848
Nginx可以通过配置实现通过Http包头中的Referer实现防盗链。在http请求的跳转过程中,Http包头中会加入Referer参数,指明跳转的来源。通过这个可以实现简单的防盗链功能。 网上百度的大概如下: 具体的Ngnix配置如下:` server { listen 80; server_name localhost; location / { valid_referers none blocked domain.com *.domain.com server_
NGINX 域名及IP白名单拦截,Referer防盗链设置
open
07-05 1520
针对线上对外NGINX代理服务安全非常重要,接下来针对域名IP白名单配置来拦截非法请求,同时通过Referer防盗链设置判断该请求是否为合法请求,具体看本文测试操作结果。 server_name www.test.com 172.17.80.104; if ($http_Host !~* ^www.test.com|172.17.80.104$) { return 500; } server_n
nginx屏蔽特定http_referer的请求
Bertram的博客
12-22 4083
<div class="single-content"> <div class="tg-pc tg-site"><a href="https://www.xinshouzhanzhang.com/url/youhui/" target="_blank"><img src="https://www.xinshouzhanzhang.com/wp-content/themes/zh...
nginx】根据不同http_referer来源代理到不同的后端
weixin_45066823的博客
08-31 3712
由于两个项目在同一台机器的不同目录下,有不同的静态文件static目录。由于根/路径都会代理到第二个项目,会导致第一个项目在请求/static下的静态文件js或者css时会出现404的问题,所以需要新增一个/static路径,来做一个请求来源referer的判断,来代理到不同的后端。有一个域名,根据不同的uri对应不同的后端应用(同一个机器不同port),刚开始使用不同的location进行的区分,大概为。...
ngx_http_referer_module模块
wdt3385的专栏
04-25 2119
翻译内容可能已经过旧。你可以通过 英文版本查看最近的更新。 配置实例 指令      referer_hash_bucket_size      referer_hash_max_size      valid_referers ngx_http_referer_module模块允许拦截“Referer”请求头中含有非法值的请求,阻止它们访问站点。需要注
nginx remote_addr
09-06
Nginx 中,`$remote_addr` 变量是一个内置变量,它用于获取客户端IP 地址。当 Nginx 充当反向代理服务器时,它会将客户端IP 地址存储在 `$remote_addr` 变量中。 你可以在 Nginx 的配置文件中使用这个变量来记录或者限制访问。 例如,在访问日志中记录客户端 IP 地址,可以使用以下配置: ``` http { # ... log_format custom_log '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent"'; access_log /var/log/nginx/access.log custom_log; # ... } ``` 这样,访问日志中的每一行都会包含客户端 IP 地址。你可以根据自己的需要调整日志格式和路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值