nginx如何防止ip攻击

nginx如何防止ip攻击：目前的运维越来越多的应用 nginx 作为服务的前端代理，服务的安全性又是运维的重中之重，nginx waf 作为 web 应用防火墙，通过一系列针对http/https 的安全策略来专门为 web 应用以及移动应用提供保护, 是很理想的防护选择，使用它再加上 nginx 自带的访问控制模块再加上 lua 构成了一个完整的防护体系。

nginx如何防止ip攻击：Nginx 配置优化


基本配置路径一般在 /etc/nginx/nginx.conf ,如果站点配置文件不是 nginx.conf，而是独立的站点配置文件，那就到相应的站点去修改配置。


worker_processes auto 该选项控制 Nginx 运行时候的工作进程个数，默认值为 1。调节为 auto


worker_connections 表示工作进程能处理的最大连接数。默认为 512，可调节为更高，我自己设置为 1000。主要看服务器的硬件配置及流量特性。


keepalive_requests 表示客户端单个连接上最多能发送多少个请求，默认值是 100。可以设置成更高的值，试情况而定。


keepalive_timeout 指定每个连接最多保持多长的打开状态，为了防止 DDOS 攻击，可以改为 60 或者更小。视情况而定。


server_tokens 该选项可以隐藏 Nginx 的版本号，关闭他可以防止攻击者嗅探到 Nginx 版本从而做相关渗透。


worker_rlimit_nofile 进程最大打开文件数 可以配置为一个较高的数字。避免出现『too many open files』


proxy_hide_header X-Powered-By; 该指令可以隐藏一些 header 的信息。通常 x-powered-by 会泄露网站相关信息我们需要将其隐藏。


nginx如何防止ip攻击：host header attack 攻击修复


在server模块中添加：


# Only requests to our Host are allowed
if ($host !~ ^($server_name)$ ) {
return 444;
}


nginx如何防止ip攻击：Nginx DDOS 防御配置优化


现在的 DDOS 基于应用层的比较多，比如 CC 攻击。通常有如下特点：


攻击的 IP 或 IP 段相对固定，每个IP都有远大于真实用户的连接数和请求数。


因为攻击是由木马发出且目的是使服务器超负荷，请求的频率会远远超过正常人的请求。


User-Agent 通常是一个非标准的值


Referer 有时是一个容易联想到攻击的值


根据以上的相关特征可以做以下配置来抵抗 DDOS 攻击


限制请求速度

limit_req_zone $binary_remote_addr zone=one:10m rate=2/s;


限制连接数量

limit_conn_zone $binary_remote_addr zone=addr:10m;


关闭慢连接


在 server 中添加

server {
client_body_timeout 5s;
client_header_timeout 5s;
}

设置IP黑/白名单


使用缓存进行流量削峰


屏蔽特定请求

针对特定 URL 的请求

针对不是常见的 User-Agent 的请求

针对 Referer 头中包含可以联想到攻击的值的请求

针对其他请求头中包含可以联想到攻击的值的请求


比如，如果你判定攻击是针对一个特定的 URL：/foo.php，攻击请求的 User-Agent 中包含 foo 或 bar 我们就可以屏蔽到这个页面的请求：

location /foo.php {
deny all;
}

location /{
if ($http_user_agent ~* foo|bar) {
return 403;
}
}

总结


Nginx 和 Nginx Plus 可以作为抵御 DDOS 攻击的一个有力手段，而且 Nginx Plus 中提供了一些附加的特性来更好的抵御 DDOS 攻击并且当攻击发生时及时的识别到。

网站被 DDOS攻击后是一个非常麻烦的问题，所以必须在网站被 DDOS攻击之前就做好相关的防护措施， 不要造成不必要的损失， 墨者安全高防，提供ddos异常流量清洗过滤，能有效抵御SYN Flood、ACK Flood、ICMP Flood、UDP Flood等各类常见的攻击类型，可全面抵御任何类型的DDoS及CC类型攻击，拥有国内最全病毒特征库样本，为最容易遭受攻击的金融小贷平台、游戏、电商、教育培训、竞价排名、医疗、独立经营性网站等高危网站制定专属策略，保证业务网站的正常访问。由前BAT资深网络安全工程师，知名网络安全站点板块大神，Sina微博负载插件开发者孤之剑主阵。