nginx 过滤post报文 防火墙_详解nginx限制IP恶意调用短信接口处理方法

最新推荐文章于 2023-12-05 09:33:03 发布
最新推荐文章于 2023-12-05 09:33:03 发布
阅读量294 收藏
点赞数
文章标签: nginx 过滤post报文 防火墙

真实案例:

查看nginx日志,发现别有用心的人恶意调用API接口刷短信:

30966487 115.213.229.38 "-" [05/Jun/2018:14:37:29 +0800] 0.003 xxxxxx.com "POST /xxx/sendCheckCode HTTP/1.1" 401 200 46 xx.xx.xx.xx:0000 0.003 200 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0" "https://xxxxxx/sendCheckCode"30963985 60.181.111.140 "-" [05/Jun/2018:14:37:29 +0800] 0.004 xxxxxx.com "POST /xxx/sendCheckCode HTTP/1.1" 401 200 46 xx.xx.xx.xx:0000 0.004 200 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0" "https://xxxxxx/sendCheckCode"30959954 220.190.18.25 "-" [05/Jun/2018:14:37:29 +0800] 0.003 xxxxxx.com "POST /xxx/sendCheckCode HTTP/1.1" 401 200 46 xx.xx.xx.xx:0000 0.003 200 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0" https://xxxxxx/sendCheckCode

思考了几种方案,最终考虑使用如下的ip黑名单的方式。

一、nginx黑名单方式:

1、过滤日志访问API接口的IP,统计每10分钟调用超过100次的IP,直接丢进nginx的访问黑名单

2、具体步骤:

编写shell脚本:

vim /shell/nginx_cutaccesslog.sh#!/bin/bashlog_path=/xxx/nginx/logsdate=`date -d "10 min ago" +%Y%m%d-%H:%M:%S`nginxpid=`cat ${log_path}/nginx.pid`cd ${log_path}#过滤access.log中正常访问API接口并在10分钟(下面是日志切割,再做个定时任务每10分钟执行一次,就可以实现了)内访问量最高的30个IP,取值如果此IP访问量大于100次,则把此IP放入黑名单cat access.log | grep sendCheckCode | grep -v 403 | awk '{print $2}'|sort|uniq -c | sort -k1 -n | tail -30 | awk '{if($1>100) print "deny "$2";"}' > ../conf/denyip.conf#日志切割,做定时任务,每10分钟执行一次mv ${log_path}/access.log ${log_path}/accesslog.bak/access_${date}.log../sbin/nginx -s reload

可自己定义时间间隔和访问量,也可取消筛选访问量最高的30个,直接取值每10分钟访问接口超过100次的

其中:"grep -v 403" 是把已经禁止访问的IP给过滤掉,只筛选正常访问的

3、修改nginx.conf

在http模块加入:

include denyip.conf;

重新加载nginx生效。

4、添加计划任务:

*/10 * * * * /bin/bash /shell/nginx_cutaccesslog.sh > /dev/null 2>&1

5、验证:

[root@xxx logs]# ll accesslog.bak/-rw-r--r-- 1 root root 2663901 Jun 5 15:10 access_20180605-15:00:01.log-rw-r--r-- 1 root root 13696947 Jun 5 15:20 access_20180605-15:10:01.log-rw-r--r-- 1 root root 13265509 Jun 5 15:30 access_20180605-15:20:01.log-rw-r--r-- 1 root root 13846297 Jun 5 15:40 access_20180605-15:30:01.log[root@xxx logs]# cat ../conf/denyip.conf ……………………deny 112.12.137.28;deny 183.167.237.229;deny 111.41.43.58;deny 115.217.117.159;deny 219.133.100.133;deny 171.221.254.115;deny 60.184.131.6;……………………

再查看已经禁用IP的访问日志,则会返回403错误:

[root@xxx logs]# tail -f access.log | grep "60.184.131.6"31268622 60.184.131.6 "-" [05/Jun/2018:15:47:34 +0800] 0.000 xxxxxx.com "POST /xxxxxx/sendCheckCode HTTP/1.1" 377 403 168 - - - "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0" "https://xxxxxx/sendCheckCode"31268622 60.184.131.6 "-" [05/Jun/2018:15:47:35 +0800] 0.000 xxxxxx.com "POST /xxxxxx/sendCheckCode HTTP/1.1" 377 403 168 - - - "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0" "https://xxxxxx/sendCheckCode"31268622 60.184.131.6 "-" [05/Jun/2018:15:47:35 +0800] 0.000 xxxxxx.com "POST /xxxxxx/sendCheckCode HTTP/1.1" 377 403 168 - - - "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0" https://xxxxxx/sendCheckCode

二、限制IP请求数:

处理这种情况的方法还有一种是限制单 IP 单位时间的请求数,以及单 IP 的并发连接数

此方法没有实际运用,因为感觉这种方法会误杀正常的访问用户

写一下此方法的大概配置,http模块加入:

89158ad4ec813acfd8102ffec923f51c.png

如何估算 limit_req_zone size:

一兆字节区域可以保持大约1万6064字节的状态。

那么 10M 就可以存储 16 万的 IP 统计信息, 这个对普通应用足够了,16 万每秒的 UV,已经超级厉害了。

如果 size 的大小如果设置小了, 例如设置成 1M,那么当一秒内的请求 IP 数超过 16000 的时候,超出的 IP 对应的用户看到的均为 503 Service Temporarily Unavailable 页面了。参考, 漏桶算法 Leaky Bucket。 同时,rate 的单位用 r/s 非常合适,如果换成按天,按小时计数,10M 的内存肯定不够用。

如何估算 limit_req_zone rate:

首先需要知道的是,普通浏览器的同时并发数量。按照 Dropbox 技术博客里所谈到的,目前主流浏览器限制 AJAX 对同一个子域名的并发连接数是6个。IE 6,IE 7 是两个。

大多数浏览器每个主机名都有6个并发连接的限制。

后面小编会分享更多运维干货,感兴趣的朋友可以关注一下~

1c1412f01a1dda15f77a5dd4d6c054d6.gif
weixin_39590739
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx限制IP恶意调用短信接口处理方法
09-30
主要介绍了nginx限制IP恶意调用短信接口处理方法,一种是nginx黑名单方式,另一种是限制IP请求数。需要的朋友可以参考下
短信接口怎么对接最安全?如何防止盗刷?
qq_31949853的博客
12-12 2710
大多系统在做注册、登录、找回密码、修改密码等功能时,往往需要发送短信验证码来确定当前操作者即为该账号的所属者,来保障账号的安全。 发送一条短信费用大概在0.03-0.04之间,对于正常的使用,勉强是可以接受的。 如果控制不好,会被滥用,花钱不说,对用户造成不好的体验。 如何防止短信接口被滥用、盗用? 1、前端增加时间限制,如:js控制60秒后才能继续发送(但不用等60秒,刷新后又能获取) ...
nginx配置不生效
公子小杰的博客
09-24 1万+
如果你这里出现的配置文件路径与你配置的不符合,关闭nginx服务,并指定配置文件路径启动。可以看到我这里反馈出/etc/nginx/nginx.conf的配置文件配置正常。2、如果上述检查无误,确认nginx中是否包含了默认配置文件。1、先确认是否存在多个nginx配置文件以及配置是否正确。可以尝试将上面两行配置注释掉。重启一下服务再试一下。
nginx之allow、deny
yjk13703623757的博客
09-10 828
https://blog.csdn.net/yangrui0070/article/details/54694778
Nginx配置限制IP访问
qq_37915839的博客
04-22 3723
Nginx配置限制IP访问 雪夜留痕 2019-04-18 16:09:58 19334 收藏 25 分类专栏: linux 架构广场 文章标签: nginx ip 屏蔽 限制 版权 Nginx配置限制IP访问 有时候我们需要针对屏蔽某些恶意IP访问我们的网站,或者限制仅仅某些白名单IP才能访问我们的网站。这时候我们就可以在nginx中通过简单的配置来达到目的。 相关配置语句 屏蔽单个ip访问 格式: deny ip; deny 123.68.23.5; 1 2 允许单个ip访问 格式: allow
详解nginx前端根据$remote_addr分发方法
09-29
主要介绍了详解nginx前端根据$remote_addr分发方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Nginx服务器实现通过ip和user_gent限制访问的方法分析
09-29
主要介绍了Nginx服务器实现通过ip和user_gent限制访问的方法,结合实例形式分析了Nginx通过限制ip和user_gent限制访问来过滤DDOS攻击的相关操作技巧,需要的朋友可以参考下
Java后端防止获取短信验证码接口被恶意调用的代码实现
weixin_42023666的博客
04-30 6544
项目原来使用的短信验证码接口没有做安全校验,去网上查找了很多的解决方案,无非是在接口调用时添加图形验证码、单ip请求限制、限定每天每个号码获取短信验证码的次数、限制短信验证码的调用频率等。逛了一大圈,发现大家都只是信心满满的分享着一大堆逻辑和方法,至于具体的代码实现,就。。。大概大神们都觉得这东西没有什么技术含量吧。但是我觉得,所有的技术无论高低,业务不管复杂简单,都应该得到尊重,都...
短信验证码轰炸解决方案二(防止海外ip限制ip限制手机号次数解决)
最新发布
php-yyds
12-05 1300
2. 访问次数限制使用了基于Session的计数器,这意味着计数器是与用户的Session绑定的。3. 检查海外IP:通过调用腾讯地图API,可以判断访问者的IP是否属于中国境内,从而禁止海外IP的访问。2. 访问次数限制:对于同一个IP地址或手机号,可以限制其访问次数,避免频繁访问或滥用。1. 黑名单功能仅针对预先设置的IP地址和手机号,无法应对新出现的恶意IP或手机号。4. 对于同一个手机号,限制访问次数,如果超过限制则终止访问。3. 对于同一个IP限制访问次数,如果超过限制则终止访问。
022、短信验证码
limengshi138392的博客
05-25 517
一、短信验证码逻辑分析 保存短信验证码是为注册做准备的。 为了避免用户使用图形验证码恶意测试,后端提取了图形验证码后,立即删除图形验证码。 Django不具备发送短信的功能,所以我们借助第三方的容联云通讯短信平台来帮助我们发送短信验证码。 二、容联云通讯短信平台 1. 容联云通讯短信平台介绍 1.容联云官网 容联云通讯网址:https://www.yuntongxun.com/ 注册...
nginx中deny和allow详解
sinat_24354307的博客
08-21 8909
nginx中deny和allow详解
避免短信接口被黑客攻击的方式
javagty6778的博客
03-05 660
这里为大家介绍了四个简单易行的避免短信服务接口被调用方法,以及实际使用中的注意事项。限制短信的发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信防火墙,都可以提高黑客攻击接口的难度。在实际的接口防护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。防护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。
nginx动态黑名单配置2
lmq1993的博客
01-22 3142
之前写过关于nginx配置动态黑名单功能 原理是查询日志,统计某段时间内访问次数很频繁的ip,对ip进行封禁 如果在nginx之前有WAF,F5设备,remote_addr 的地址是WAF、F5的地址, 客户端真实的IP地址是在 http_x_forwarded_for中的, 这样这样 nginx 默认的 deny 和 allow 就不能用了。 我们定义一个 map 拒绝的 IP 地址列表。cat x_forwarded_for_deny.conf map $http_x_forwarded_for $
Nginx禁止某IP(段)访问的方法
weixin_45815859的博客
08-30 2701
当你的Nginx服务器想禁止某个IPIP段访问时,可以通过配置文件来达到目的 Nginx禁止某IP(段)访问 修改Nginx配置文件nginx.conf Nginx配置访问IP可以修改nginx.conf文件,只需要在server中添加allow和deny的IP即可,如下: server { listen 80; server_name localhost; allow all; deny 123.123.123.123; error_page .
网站通过nginx设置黑/白名单IP限制、国家城市IP访问限制
热门推荐
01-21 2万+
一、黑/白名单IP限制访问配置 nginx配置黑白名单有好几种方式,这里只介绍常用的两种方法。 1、第一种方法:allow、deny deny和allow指令属于ngx_http_access_module,nginx默认加载此模块,所以可直接使用。 这种方式,最简单,最直接。设置类似防火墙iptable,使用方法: 直接配置文件中添加: #白名单设置,allow后面为可访问IP location / { allow 123.13.123.12; allow 23.53.32.1/
使用nginx 隔离进行简单的拦截
freewebsys的专栏
12-04 1万+
1,nginx内置变量nginx 有很多内置变量可以进行简单的过滤。 $arg_name 请求行中的name参数。 $args 请求行中参数字符串。 $cookie_name 名为name的cookie。 与$uri相同。 $http_name 任意请求头的值;变量名的后半部为转化为小写并且用下划线替代横线后的请求头名称。 $host “Host”请求头的值,如果没有该请求头,则为与请求对应的虚拟主
nginx允许IP访问不生效问题【原创】
weixin_30347009的博客
03-28 2414
使用nginxnginx_upstream_check模块来检测后端服务器的转态时,设置只允许某段IP访问,发现不生效,不在此网段的IP也可以访问。 原因为在允许IP访问最后一定要加deny all;表示除了上面allow的其他都禁止 配置如下: location /status { check_status; access_log...
2020年 3-9 Java实现黑名单摸坑记录
bewhale的博客
03-09 1359
应公司要求 对恶意请求实现黑名单操作 要求 同一ip操作10次 便加入黑名单 获取ip代码 import org.apache.commons.lang3.StringUtils import javax.servlet.http.HttpServletRequest; public class IPUtil { public static String getClientIpWithProxy(...
nginx stream_realip_module
04-01
The nginx stream_realip_module is a module that allows nginx to obtain the real IP address of a client by replacing the client's IP address with the one specified in the X-Forwarded-For or X-Real-IP header. This is useful in situations where nginx is behind a load balancer or proxy server, as the original client IP address may be lost in the process. When the stream_realip_module is enabled, nginx replaces the client's IP address with the IP address specified in the X-Forwarded-For or X-Real-IP header. This allows the actual client IP address to be logged and used for access control, rate limiting, or other purposes. To use the stream_realip_module, the following steps are required: 1. Install nginx with the stream_realip_module enabled. 2. Add the following configuration to the nginx.conf file: ``` stream { real_ip_header X-Forwarded-For; real_ip_recursive on; ... } ``` In this example, the real IP address is obtained from the X-Forwarded-For header and the `real_ip_recursive` option is enabled to allow multiple X-Forwarded-For headers to be processed. 3. Restart nginx. Once the stream_realip_module is configured, nginx will obtain the real IP address of the client and use it in place of the proxy or load balancer IP address. This can help ensure that access control and other security measures are applied correctly.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值