自家的APP上線已經有一段時間了,突然有一天發現線上產品居然不能發送驗證碼。
登入第三方簡訊驗證碼服務後台,發現問題很嚴重。
| 3 | youbiquan | 15797 | 2015-12-25 |
| 4 | youbiquan | 57 | 2015-12-23 |
| 5 | youbiquan | 49 | 2015-12-22 |
| 6 | youbiquan | 54 | 2015-12-21 |
| 7 | youbiquan | 64 | 2015-12-20 |
發現幾天前,簡訊服務居然發出去15000多條簡訊出去,直接把服務費刷光了。
要找原因就只能找 Nignx 的日誌了。
日誌中,發現大量的對簡訊介面的訪問,並且在我查看時候,日誌依然在瘋狂的追加,是典型的ddos攻擊了。當然最核心的內容還是對簡訊介面的瘋狂訪問量
221.178.182.21 - - [05/Jan/2016:16:19:25 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.3; XM50h Build/19.1.1.C.1.2)" "-"171.82.225.66 - - [05/Jan/2016:16:19:32 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.4; 2014812 MIUI/V6.6.3.0.KHJCNCF)" "-"171.82.225.66 - - [05/Jan/2016:16:19:32 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.4; 2014812 MIUI/V6.6.3.0.KHJCNCF)" "-"110.89.16.13 - - [05/Jan/2016:16:19:49 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"110.89.16.13 - - [05/Jan/2016:16:19:49 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"118.114.160.200 - - [05/Jan/2016:16:21:26 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"118.114.160.200 - - [05/Jan/2016:16:21:39 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"119.122.0.136 - - [05/Jan/2016:16:21:41 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"118.114.160.200 - - [05/Jan/2016:16:21:51 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"甚至在很多訪問量過大時候,都會覺得伺服器不能正常提供服務,處於崩潰的邊緣。
2. 臨時方案
在搞清楚問題之前,首先想到的是,先把簡訊服務停掉,讓攻擊者不能訪問服務,但是又不能將伺服器關掉,畢竟線上使用者還在使用。
所以先用nginx把這個介面rewrite了。
if ( $request_uri ~* "showType=smsAuthcode" ){ rewrite ^/ http://www.baidu.com/;}
首先給百度抱歉,把攻擊請求轉寄給百度了。其實隨便return一個值就好了,例如200.
3. 基於log分析的方案
當然問題這樣,並不能算解決,線上使用者也不能註冊新使用者了。
我首先想到的方案還是對IP訪問限制,分析了一下log,有的ip攻擊次數到達幾千次,當然也有的ip只有幾次訪問。對於訪問幾次的ip,其實沒有辦法確定是真使用者還是攻擊機器的IP。 在網上找了一個可以讓某個介面,在一定時間內,限制ip訪問次數的方案。
iptables -A INPUT -p tcp --dport 80 -d xx.xx.xx.xx -m string --string "/myinterface?showType=smsAuthcode" --algo kmp -m recent --name httpuser --setiptables -A INPUT -m recent --update --name httpuser --seconds 86400 --hitcount 4 -j LOG --log-level 5 --log-prefix 'HTTP attack: 'iptables -A INPUT -m string --string "/myinterface?showType=smsAuthcode" --algo kmp -m recent --update --name httpuser --seconds 86400 --hitcount 10 -j REJECT
其實也是有一定效果的方案
| 序號 | 帳號 | 數量(條) | 日期 |
|---|---|---|---|
| 2 | youbiquan | 540 | 2016-01-08 |
| 3 | youbiquan | 2857 | 2016-01-04 |
| 4 | youbiquan | 388 | 2016-01-05 |
| 5 | youbiquan | 2469 | 2016-01-06 |
某一天,一籌莫展的時候,我又開啟nginx訪問日誌,突然發現攻擊的行為的 user-agent都好短,和其他訪問的user-agent有明顯差別。
似乎攻擊者的user-agen都是“Mozila/5.0“,然後就沒有了,而其他的訪問,會有更多資訊,包括系統版本,瀏覽器等。
按照這樣的猜想,我去用程式分析user-agent,果然只有訪問簡訊介面的UA中存在很短的 “Mozila/5.0“, 其他訪問不存在這個UA,但是還有一些不短的UA
Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"於是就搜了一下,發現Dalvik是一個Android虛擬機器,瞬間覺得明朗了,感覺完全可以基於UA防範,把Mozila/5.0和虛擬機器全攔截住,問題不就解決了麼。
於是在nginx的配置裡,加了下面幾段代碼
if ($http_user_agent = "Mozilla/5.0") { return 503;}if ($http_user_agent ~* "Dalvik/1.6.0") { return 503;}
第一段就是嚴格匹配 Mozila/5.0 第二段的意思以 Dalvik開頭的UA,就是虛擬機器的UA。
果然在採用這個方式防範以後,瞬間有了明顯效果。
| 2 | youbiquan | 57 | 2016-01-09 |
按照新方法,從新防範後,簡訊發送的條數,直接回到之前的正常水平,自己用了幾個手機測試了一下,也是OK的。
不過也不能高興的太早,似乎攻擊者也很容易偽造UA,想要完全解決DDOS,還要更多學習科學文化知識才行~
以上就介紹了利用Nignx巧妙解決我所遇到的DDOS攻擊,包括了方面的內容,希望對PHP教程有興趣的朋友有所協助。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
