最好的防御方式就是攻击 知己知彼,百战不殆。掌握攻击者的套路才好顶得住攻击。
可能我的读者多少了解过Nginx
,我先给不了解的同学简单说一下原理。已经了解的跳到第二节。
Nginx
Nginx
是一款高性能的Web
服务器和反向代理服务器。
它可以用来搭建网站、做应用服务器,能够处理大量的并发连接和请求。
类似于一个快递收发室,指挥快递(流量)应该投递到哪个买家。
它还能提供一些高级功能:
读到这里,我知道很多人脑子都要爆了。现在让我们直入主题。结合以上功能的能做哪些攻击方式。
使用Nginx
作为反向代理服务器,将攻击流量转发到目标服务器。这样就能隐藏攻击流量的真实地址。
server { listen 80; server_name www.example.com; location / { proxy_pass http://backend_server; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }
www.example.com:80
的流量全部都会转发到http://backend_server
服务器上。proxy_set_header X-Real-IP $remote_addr;
设置请求头提供真实来源ip
。proxy_set_header Host $host;
设置访问的Host
。只要把X-Real-IP
改成其他不存在的IP
,就可以隐藏自己的真实IP地址,让攻击更难以被追踪和防御。当然相对于客户端来说,只能知道nginx
的地址就不知道真实服务器的地址了。
DDoS
攻击就是借助某些工具瞬间发动大量的请求,让服务器资源耗尽,无法正常响应其他用户的请求,一般也常用于压力测试。介绍一些常用的工具:
ApacheBench
(ab):常用的命令行工具,用于模拟多个并发请求。可以控制请求总数、并发数等参数。Siege
:命令行工具,和上面一样,并且还支持 HTTP
和 HTTPS
协议。JMeter
:一个功能强大的 Java
应用程序,可以用于模拟各种负载情况。JMeter
可以通过图形界面进行配置,支持更多协议和数据格式,包括 HTTP、HTTPS、SOAP、REST 等。但事实往往比这个残酷,攻击者会做一些病毒,在网络上传播开来,病毒运行时可以直接疯狂访问服务器,或者利用Nginx
提供的反向代理和其支持的比如socket
、SSL
,不断的建立握手请求。
小熊主要给大家介绍怎么防御。这种病毒感染方式就不说了,我害怕戴银手铐。
http { limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s; geo $block { default 0; include /path/to/block_ip.txt; } server { listen 80; location / { limit_req zone=one burst=10 nodelay; if ($block) { return 403; } proxy_pass http://backend; } } }
limit_req_zone
定义了一个名为“one”的限制请求速率的区域,该区域的大小为10MB,请求速率限制为每秒5个请求。limit_req
指定使用名为“one”的限制规则。geo $block
是黑名单,这个文件可以写需要屏蔽的ip
。server
块中的location
指令使用了limit_req
和if
表示黑名单的返回403
状态码。假设我有两个后端服务器。
http { upstream backend { # 轮询方式的负载均衡 server backend1.example.com; server backend2.example.com; } ... server{...} }
有多种负载均衡方式。
server { ... location /api/ { # 轮训 proxy_pass http://backend; } location /lb/ { # IP哈希方式的负载均衡 ip_hash; proxy_pass http://backend; } location /upstream/ { # 根据服务器性能或响应时间进行加权轮询 upstream backend { server backend1.example.com weight=2; server backend2.example.com; } # 对 backend 进行访问 proxy_pass http://backend; } location /least_conn/ { # 最少连接数的负载均衡 least_conn; proxy_pass http://backend; } location /random/ { # 随机方式的负载均衡 random; proxy_pass http://backend; } location /sticky/ { # 基于客户端IP的哈希方式的负载均衡 hash $remote_addr consistent; server backend1.example.com; server backend2.example.com; } }
很多人学nginx
都会对ip_hash
和基于客户端IP的哈希方式的负载均衡有疑惑。分不清,我一句话给大家讲清楚。
ip_hash
能保证相同来源一定能访问相同的服务器,适用于登录等有状态的场景。在请求量少的时候,容易出现很多ip
落在同一服务器上,分布不均衡。ip
请求落到同一服务器上。但是可以保证各个服务器比较均衡。我认为使用方式二更好,可能理解有限,欢迎各位读者分享自己的看法!
黑客可以使用Nginx伪装成一个合法的网站,诱骗用户输入敏感信息。例如,他们可以使用Nginx构造一个伪造的登录页面,让用户输入用户名和密码,然后将这些信息发送给黑客服务器。
其实就是静态托管+反向代理功能的组合。
server { listen 80; server_name example.com; # 静态网站托管 location / { root /var/www/mywebsite/dist; index index.html index.htm; } # API代理转发 location /api { proxy_pass http://localhost:8000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }
/api
路由转发到api
服务上。我的博客就用了这种方式,同样的我写了很多了不同的server{}
块,来监听不同的域名,这样我可以把多个网站全部部署在同一台机器上,极限利用服务器资源。
这两天在写一个小程序,计划做成程序员资源、求助、内推、课程、学习路线图之类的综合类小程序,所以更新有点慢了,见谅见谅。
对于今天所述的文章,真正有不良居心的人,总是会有更sao
的攻击方法。我也不敢说得太多,而且这些攻击的行为都是违法的,建议大家学会以后手下留情。
今天的目的实际上是教大家学会nginx
的常用配置方法,用心良苦,莫辜负点个赞再走。
你好,我是小熊,是一个爱技术但是更爱钱的程序员。上进且佛系自律的人。喜欢发小秘密/臭屁又爱炫耀。
奋斗的大学,激情的现在。赚了钱买了房,写了书出了名。当过面试官,带过徒弟搬过转。
大厂外来务工人员。是我,我是小熊,是不一样的烟火欢迎围观。
我的博客 机智的程序员小熊 欢迎收藏