Nginx 防CC攻擊拒絕代理訪問

標籤：discuz   blog   http   io   os   使用   ar   for   檔案   

先大概說說簡單的結構…前端一個Nginx反向 Proxy，後端一個Nginx instance app for PHP…實際上就是個Discuz，之前面對CC攻擊都是預警指令碼或者走CDN，但是這次攻擊者不再打流量，而是針對資料庫請求頁面進行攻擊，如search操作…文章ID F5等..從日誌分析來看是從3個URL著手攻擊的，當時使用Nginx 匹配$query_string 來return 503…不過會導致頁面不能訪問，所以想到這麼一個折中的辦法。

 

首先你看一段代理請求的NGINX日誌:

##通過分析，在後端發現其代理訪問過來的資料都是兩個IP的，預設情況下直接存取擷取真實IP，其IP只有一個，而通過手機 3G\4G上網則是2個IP，不過有匿名IP的話，到伺服器則只有一個IP，這種就不太好判斷了...[[email protected] conf]# tail -f /var/log/nginx/logs/access.log  | grep ahtax120.193.47.34 - - [26/Sep/2014:23:34:44 +0800] "GET /ahtax/index.html HTTP/1.0" 503 1290 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36" "10.129.1.254, 120.193.47.34"

 

使用PHP分析下訪問時的_SERVER變數

[[email protected] conf]# cat /%path%/self_.php<?phpif ($_SERVER["HTTP_X_FORWARDED_FOR"]!=""){    $user_ip=$_SERVER["HTTP_X_FORWARDED_FOR"];}elseif($_SERVER["HTTP_X_REAL_IP"]!=""){    $user_ip=$_SERVER["HTTP_X_REAL_IP"];}else{        $user_ip=$_SERVER["REMOTE_ADDR"];}echo $user_ip."<br />";        foreach($_SERVER as $key=>$value)                echo $key."\t"."$value"."<br />";?>

 

通過瀏覽器訪問確認相關參數

有了這個特徵就很好判斷了….

首先需要有一個正則來匹配日誌裡的兩個IP,Nginx正則依賴pcre庫...[[email protected] conf]# pcretest PCRE version 7.8 2008-09-05  re> ‘^\d+.\d+.\d+.\d+\W\s\d+.\d+.\d+.\d+$‘data> 192.168.1.1, 1.1.1.1 0: 192.168.1.1, 1.1.1.1Nginx設定檔在location $dir 中加入條件來匹配http_x_forwarded_for:#proxyif ($http_x_forwarded_for ~ ‘^\d+.\d+.\d+.\d+\W\s\d+.\d+.\d+.\d+$‘){    return 503;}

 
重載配置後就可以限制使用代理IP來訪問的網站使用者了

 

» 轉載保留著作權：IT辰逸 » 《配置Nginx 拒絕代理訪問》» 本文連結地址：http://www.ipython.me/centos/nginx-reject-proxy-access.html» 本文著作權採取： BY-NC-SA 協議進行授權，轉載註明出處。除IT-Tools、News以及特別標註，本站所有文章均為原創。» 如果喜歡可以： 點此訂閱本站

Nginx 防CC攻擊拒絕代理訪問