时间:2021-05-24
先大概说说简单的结构…前端一个Nginx反向代理,后端一个Nginx instance app for PHP…实际上就是个Discuz,之前面对CC攻击都是预警脚本或者走CDN,但是这次攻击者不再打流量,而是针对数据库请求页面进行攻击,如search操作…帖子ID F5等..从日志分析来看是从3个URL着手攻击的,当时使用Nginx 匹配$query_string 来return 503…不过会导致页面不能访问,所以想到这么一个折中的办法。
首先你看一段代理请求的日志:
##通过分析,在后端发现其代理访问过来的数据都是两个IP的,默认情况下直接访问获取真实IP,其IP只有一个,而通过手机 3G\4G上网则是2个IP,不过有匿名IP的话,到服务器则只有一个IP,这种就不太好判断了...
[root@ipython conf]# tail -f /var/log/nginx/logs/access.log | grep ahtax
120.193.47.34 - - [26/Sep/2014:23:34:44 +0800] "GET /ahtax/index.html HTTP/1.0" 503 1290 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36" "10.129.1.254, 120.193.47.34"
使用PHP分析下访问时的_SERVER变量
复制代码代码如下:[root@ipython conf]# cat /%path%/self_.php
<?php
if ($_SERVER["HTTP_X_FORWARDED_FOR"]!="")
{
$user_ip=$_SERVER["HTTP_X_FORWARDED_FOR"];
}elseif($_SERVER["HTTP_X_REAL_IP"]!=""){
$user_ip=$_SERVER["HTTP_X_REAL_IP"];
}else{
$user_ip=$_SERVER["REMOTE_ADDR"];
}
echo $user_ip."
";
foreach($_SERVER as $key=>$value)
echo $key."\t"."$value"."
";
?>
通过浏览器访问确认相关参数
有了这个特征就很好判断了….
首先需要有一个正则来匹配日志里的两个IP,Nginx正则依赖pcre库...
复制代码代码如下:[root@ipython conf]# pcretest
PCRE version 7.8 2008-09-05
re> '^\d+.\d+.\d+.\d+\W\s\d+.\d+.\d+.\d+$'
data> 192.168.1.1, 1.1.1.1
0: 192.168.1.1, 1.1.1.1
Nginx配置文件在location $dir 中加入条件来匹配http_x_forwarded_for:
#proxy
if ($http_x_forwarded_for ~ '^\d+.\d+.\d+.\d+\W\s\d+.\d+.\d+.\d+$'){
return 503;
}
重载配置后就可以限制使用代理IP来访问的网站用户了
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
Nginx负载均衡和反向代理配置和优化DNS轮询方式:介绍:DNS轮询是指一个域名可以绑定到多个的ip服务器上,用户在访问的时候dns轮询访问这几个ip的服务器
什么是Nginx访问限制配置nginx访问限制可以基于两个方面,一个是基于ip的访问控制,另一个是基于用户的信任登陆控制下面我们将对这两种方法逐个介绍基于IP的
tomcat访问项目,一般是ip+端口+项目名nginx配置location/{},一般只能跳转到ip+端口,如果想要直接访问项目,就需要修改tomcat的配置
本文介绍Nginx禁止指定UA访问的配置。UA,即HttpUserAgent,在Nginx中使用内置变量$http_user_agent表示,该信息作为requ
在排除网络问题,设置新连接或配置防火墙时,了解设备的IP地址非常重要。下面我们就来看看Linux中查看ip地址的方法吧!Linux查看ip的方法在Linux中,