nginx网站攻击防护 nginx网站攻击防护

1.上上个月架构全部迁移上云以后，总的来说比较稳定，业务量也上来，可爱的坏人也来了，7X24小时不停恶意攻击我的网站，第一次收到报警是网站流入流量1分钟以内连续3次超过1000000bps,换算下1M/s秒,平时没那么大流量的啊，当时刚好在朋友家玩，于赶紧开本本连检查，发现全是访问同一个页面的请求，而且是正常访问http 200,应该是被恶意攻击了。
发现问题：
发现问题第一反应，赶紧将请求地址截图发给开发们看看，问问这个具体是什么?
最后得知是为短信验证码接口，据后来统计在被持续攻击的一个多小时中损失16000多条短信。

解决问题：一期防攻击策略：
发现问题当然要立马解决了，当时思路就是统计nginx日志，当单个ip在10秒钟内访问 /account/sendPhoneCode次数超过5次，就禁用这个ip,正常用户不可能有么大的访问量，于是就有了下面的防攻击shell脚本。
这个脚本加在定时任务里每分钟执行一次，半夜0点自动重启动防火墙，释放IP，基本上防止了攻击，大概使用了半个月。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 #!/bin/bash #write: lijing QQ 858080796 #date:20160528 v2.0 #description:拦截非法IP #定义变量 RETVAL=0 Date=$( date '+%Y-%m-%d' ) Time=$( date '+%Y:%H:%M' -d '-1 minute' ) MON=$( date | awk -F " " '{print $2}' ) TODAY=$( date | awk -F " " '{print $3}' ) Log= "/data/logs/nginx/access.log " LINE= "70000" #关键字 Key01= "sendPhoneCode" Status= /tmp/statuS_deny_ip /sbin/service iptables status > $Status #定义函数 #禁止时间函数 secure_deny_time(){ Time01=$( date "+%H:%M:%S" -d " -10 second" ) Time02=$( date "+%H:%M:%S" -d " -9second" ) Time03=$( date "+%H:%M:%S" -d " -8second" ) Time04=$( date "+%H:%M:%S" -d " -7second" ) Time05=$( date "+%H:%M:%S" -d " -6second" ) Time06=$( date "+%H:%M:%S" -d " -5second" ) Time07=$( date "+%H:%M:%S" -d " -4second" ) Time08=$( date "+%H:%M:%S" -d " -3second" ) Time09=$( date "+%H:%M:%S" -d " -2second" ) Time10=$( date "+%H:%M:%S" -d " -1second" ) echo "$Time01$Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 " } #禁止关键字函数 secure_key(){ tail -n $LINE $LOG | grep "$TODAY\/$MON" | grep - v ^$| grep $TIME| grep $1 | grep $2 | grep $3| grep $4 | awk -F " " '{print $1}' | sort >> $Deny echo " grep " $TODAY\/$MON " $LOG |grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3|grep $4 |awk '{print $1}' |sort" } #执行防火墙拦截函数 secure_deny_ip() { cat $Deny echo ...................... cat $Deny02 for i in $IP; do NUM=$( cat $Deny02| grep $i| awk -F " " '{print $1}' ) if [ -z $NUM ]; then echo " " else if [ $NUM - ge $Dot ]; then for y in $i; do grep $y $Status> /dev/null 2>&1 RETVAL=$? [ $RETVAL != 0] && echo "/sbin/iptables -I INPUT -s $y-j DROP" [ $RETVAL != 0] && /sbin/iptables -I INPUT -s $y-j DROP [ $RETVAL != 0] && echo "$(date " +%H:%M:%S ") $y " >> /tmp/ $Date #[ $RETVAL != 0] && /sbin/iptables -I INPUT -s $y -ptcp-j REJECT done fi fi done } NUMBER= "1 2 3 4 5 6" for NUMBER in $NUMBER; do sleep 10s #定义点击次数 Dot Dot=5 Deny= /tmp/secure_deny_tmp_ $NUMBER Deny02= /tmp/secure_deny_ $NUMBER #第1次,检查当前时间以前10s.如: 0-10秒 echo "第$NUMBER 次,检查当前时间以前第$NUMBER 个10s.大于 $Dot 次攻击阻止" echo > $Deny for LOG in ` echo $Log` ; do secure_deny_time for TIME in $Time01$Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 ; do secure_key$Key01 done cat $Deny| sort | uniq -c > $Deny02 IP=$( cat $Deny02| awk -F " " '{print $2}' ) secure_deny_ip done done exit

二期防攻击策略：
Shell脚本运行的半个月时间里，虽然防止了攻击，但是公司客服反馈有客户被误杀，最严重的是公司有次活动，10秒内发5个短信请求很正常啊，误杀了部分用户,被防火墙禁止IP不能访问任何服务。于是得从nginx应用层找方法，不能用老套方法禁IP了，在网上在找几天的资料解决，几乎没有相同的案例，只能自己创造了。
天道酬勤，终于有了两个思路：
一是nginx结合lua来防攻击（在网上看得我云里雾里的，最后不会lua选择放弃这个方案）。
二是利用ngx_http_referer_module（当时看了2天官网英文资料，http://nginx.org/en/docs/http/ngx_http_referer_module.html，这个页面的让我找到方法，尤其是nginx的if 语句）。对比攻击日志和正常日志发现，其$http-referer是不同的，如下图：
正常访问：

文章图片

攻击访问：

文章图片

最终解决思路：
1、去掉了原来的　拦截ip策略，不载拦截ip。
2、启用nignx的location 匹配/account 的$http-referer的过滤，当不是正常$http-referer，直接在再nginx处理。
Nginx配置如下：

1 2 3 4 5 6 7 location ~ /account (/.*){ if ($http_referer ~ "https://www.xxxxxxxx.net/account/sendPhoneCode" ) { #如果匹配就直接返回200，返回404，也行啊，自己定。给可爱的攻击者，不传给后端web return 200; } #不匹配，传给后端web proxy_passhttp: //web_group/account/ ; }