用haproxy的过滤表达式过滤恶意HTTP请求

最新推荐文章于 2023-08-21 11:09:02 发布
最新推荐文章于 2023-08-21 11:09:02 发布
阅读量4.2k 收藏
点赞数
分类专栏: Linux
最近,自己用C++写的一个HTTP服务器总是莫名的崩溃或CPU 100%挂死。挂死的时间全无规律,有时候数周都稳定,有时候一小时内多次挂死。

程序的业务逻辑很简单,仅仅只是根据映射,将短URL转换成长URL。而且格式不匹配的URL中,通过日志发现了很多怪异的请求。

显然,黑客想通过特殊字符,攻击这台服务器。
显然,我的HTTP协议解析的代码存在漏洞。

找到代码中的BUG,然后修复这个漏洞,这是肯定的。
不过还有更简单的替代办法:在HTTP服务器的前端接入一个haproxy,将非法的请求全部过滤掉。

下面就分享一些达到安全目的的haproxy表达式:

1、只要GET请求:我的业务只需要GET,其他都不要:
acl valid_method method GET
block if !valid_method

2、请求中必须要有Cookie字段:
acl forbidden_hdrs hdr_cnt(cookie) lt 1
block if forbidden_hdrs

3、只要GET的第一行,其他的头都可以删除掉:没办法删除所有的头,但是可以删除主要的
reqdel ^Accept:
reqdel ^User-Agent:
reqdel ^Host:
reqdel ^Pragma:
reqdel ^Cookie:
reqdel ^Accept-Language:
reqdel ^Accept-Encoding:
reqdel ^Accept-Charset:
reqdel ^Keep-Alive:
reqdel ^Cache-Control:

4、GET请求后的路径,只有10个字符,不是10个字符的都是错误的:
acl valid_pfx      url_reg -i ^/[^/]{10}$
block if !valid_pfx

OK,经过上面的表达式,已经比较安全了。下面再增添一点锦上添花的:
错误的请求中,一部分是请求http://my.ahfu.com/favicon.ico的,(域名不是我的,举个例子)这是因为firefox请求这个域名的时候,同时向这个域名请求图标。我自己实现的HTTP服务器上,当然没有图标了,怎么办?用过滤表达式把对图标的请求转到主站上去吧:
#修改之前的路径匹配
acl valid_pfx      url_reg -i ^/([^/]{10}$)|(favicon.ico$)
block if !valid_pfx
#在backend中加入下面的表达式:
acl icon_pfx url_beg /favicon.ico
redirect location http://www.ahfu.com/favicon.ico code 301 if icon_pfx


#注:haproxy的版本是最新的1.4.6
remotesupport
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
haproxy_http.zip
03-31
该版本是博主根据cygwin64生成的haproxy文件,并配置cfg配置文件模板,在windows环境下亲测可用,支持Http的转发,下载后可根据需求直接对cfg文件内容进行修改配置,然后运行startup.bat即可实现负载均衡
使用HAProxy、PHP、Redis和MySQL支撑10亿请求每周架构细节
02-21
Octivi联合创始人兼软件架构师AntoniOrfin将向你介绍一个非常简单的架构,使用HAProxy、PHP、Redis和MySQL就能支撑每周10亿请求。同时,你还能了解项目未来的横向扩展途径及常见的模式。在这篇文章中,我将展示一个...
haproxy报文修改
qq_36801585的博客
04-01 371
文章目录haproxy报文修改在请求报文尾部添加指定首部从请求报文中删除匹配正则表达式的首部在响应报文尾部添加指定首部从响应报文中删除匹配正则表达式的首部 haproxy报文修改 ​ 在http模式下,基于实际需求修改客户端的请求报文(2)与响应报文(4),通过reqadd和reqdel在请求报文添加删除字段,通过rspadd与rspidel在响应报文中添加与删除字段。 在请求报文尾部添加指定首...
Haproxy转发重定向的方式【实战有效】
xiao_lone的博客
09-02 1198
Haproxy转发重定向的有参无参方式
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9572
远端WWW服务支持TRACE请求
使用nginx以及haproxy进行tcp端口转发配置详解。
jenie的专栏
10-15 1372
先使用nginx来配置。nginx有些高的版本是有tcp 转发功能,低版本是没有。 安装nginx后,本人安装是nginx1.16版本 ./configure make && make install 全部默认 cd /usr/local/nginx/conf vim nginx.conf 最未尾一行加入此名 ,表示将在此目录下的tcp.d下创建conf的文件,进行识别 include tcp.d/*.conf; mkdir tcp.d 创建此目录 vim port...
HAProxy——http请求走私漏洞(CVE-2021-40346)分析
weixin_50464560的博客
09-24 3609
漏洞信息在9月7号,JFrog安全研究团队发布了一个HAProxy的严重漏洞的信息。HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。 HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进架构中, 同时可以保护web服务器不被暴露到网络上。 此漏洞编号为CVE-2021-40346,是一个整
HAProxyHAProxy安装及路由转发
Yohann17的博客
01-03 770
HAProxy安装及路由转发
Haproxy使用手册.pdf
08-07
HAProxy使用手册 HAProxy是开源的软负载均衡器,支持两种主要的代理模式:tcp(4层)和7层(HTTP)。在4层模式下,HAProxy仅在客户端和服务器之间转发双向流量。在7层模式下,HAProxy会分析协议,并且能通过允许、...
haproxy-auth-request:auth-request允许您基于对配置的HAProxy后端的子请求,对HTTP服务添加访问控制
02-03
配置HAProxy时,`auth-request`通常会用在`frontend`或`backend`部分。例如: ```conf frontend http-in bind *:80 use_backend backend_app if { req.http.Authorization !~ "Bearer" } http-request auth if !...
Haproxy配置详解
qq_42072311的博客
11-12 751
声明,本文转自:https://www.cnblogs.com/zyd112/p/8888945.html 一、HAProxy简介 1.HAProxy 是一款提供高可用性、负载均衡以及基于TCP(第四层)和HTTP(第七层)应用的代理软件,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。 2.HAProxy 实现了一种事件驱动、单一进程模型,此模型支持非常大的并发连接数。 3.HAPro...
haproxy详解
qq_57258570的博客
11-30 1882
haproxy 负载均衡服务 4台主机 同网段 能ping通 yum 负载均衡 四层负载 lvs haproxy 四层负载是基于ip和端口实现的 速度比较快 但是不安全 原理: 调度器接收到客户端的报文,只是会解析到传输层,就可以对报文进行负载,调度器不把报文进行详细解析,直接转发给后端的服务节点,服务节点于客户端建立tcp连接进行数据的响应 四层负载 七层负载 haproxy 七层...
HAProxy的访问控制
weixin_30838921的博客
07-27 151
HAProxy的ACL用于实现基于请求报文首部、响应报文的内容或其他的环境状态信息来做出转发决策,这大大增强了其配置弹性,其配置法则通常分为两步,首先去定义ACL,即定义一个测试条件,而后在条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端。1、定义ACL语法:acl <aclname> <criterion> [flags] [operato...
Linux学习-HaProxy代理后端Nginx
丢爸
05-15 1392
代理作用:web缓存(加速),反向代理、内容路由(根据流量及内容类型将请求转发至特定服务器),转码器 缓存作用:减少冗余内容传输,节省带宽、缓解网络瓶颈,降低对原始服务器压力,降低传输延迟 Haproxy: 适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的web服务器不被暴露到网络上 实现了一种事件驱动, 单一进程模型,此模型支持非常大的并发
HAProxy安装已经tcp流量转发
asd52656的博客
08-21 1129
高可用HAProxy——yum安装部署配置使用 HAProxy介绍 HAProxy是高性能TCP(第四层)/HTTP(第七层)反向代理负载均衡服务器。(The Reliable, High Performance TCP/HTTP Load Balancer) HAProxy安装部署 查看列表 $ yum list | grep haproxy yum安装 $ yum -y install haproxy 查看详细信息 $ rpm -qi haproxy 查看帮助 [root@testHaproxy
haproxy2.5以上版本可以进行acl过滤
最新发布
weixin_44035416的博客
08-21 47
纯记录一下日常需要记录的东西。
HAProxy常用配置介绍,ACL详解
wolf
07-14 3729
1、HAProxy简介 HAProxy 是一款高性能TCP/HTTP 反向代理负载均衡服务器,具有如下功能: 根据静态分配的cookies完成HTTP请求转发 在多个服务器间实现负载均衡,并且根据HTTP cookies 实现会话粘性 主备服务器切换 接受访问特定端口实现服务监控 实现平滑关闭服务,不中断已建立连接的请求响应,拒绝新的请求 在请求或响应
haproxy之ACL
wdirdo的博客
11-06 443
haproxy之ACL haproxy的ACL简介 1)访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,允许其通过或丢弃。 2)参考...
Haproxy负载均衡实战:HTTP请求分发到Web服务器
该实验的主要目的是通过 Haproxy 实现HTTP请求的负载均衡,将客户端的请求均匀地分配到多台Web服务器上,如使用 Tornado 框架的 web服务器实例。实验中,我们将配置三个 Web 服务器,地址分别为 192.168.60.90、192....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值