nginx网站被持续攻击1个月后最终防攻策略
上上个月架构全部迁移上云以后,总的来说比较稳定,业务量也上来,可爱的坏人也来了,7X24小时不停恶意攻击我的网站,第一次收到报警是网站流入流量1分钟以内连续3次超过1000000bps,换算下1M/s秒,平时没那么大流量的啊,当时刚好在朋友家玩,于赶紧开本本连vpn检查,发现全是访问同一个页面的请求,而且是正常访问http 200,应该是被恶意攻击了。
发现问题:
发现问题第一反应,赶紧将请求地址截图发给开发们看看,问问这个具体是什么?
最后得知是为短信验证码接口,据后来统计在被持续攻击的一个多小时中损失16000多条短信。
解决问题:
一期防攻击策略:
发现问题当然要立马解决了,当时思路就是统计nginx日志,当单个ip在10秒钟内访问 /account/sendPhoneCode次数超过5次,就禁用这个ip,正常用户不可能有么大的访问量,于是就有了下面的防攻击shell脚本。
这个脚本加在定时任务里每分钟执行一次,半夜0点自动重启动防火墙,释放IP,基本上防止了攻击,大概使用了半个月。
#!/bin/bash #write: lijing QQ 858080796 #date: 20160528 v2.0 #description:拦截非法IP #定义变量 RETVAL=0 Date=$(date ‘+%Y-%m-%d‘) Time=$(date ‘+%Y:%H:%M‘ -d ‘-1 minute‘) MON=$(date|awk -F" " ‘{print $2}‘) TODAY=$(date|awk -F" " ‘{print $3}‘) Log="/data/logs/nginx/access.log " LINE="70000" #关键字 Key01="sendPhoneCode" Status=/tmp/statuS_deny_ip /sbin/service iptables status > $Status #定义函数 #禁止时间函数 secure_deny_time(){ Time01=$(date "+%H:%M:%S" -d " -10 second") Time02=$(date "+%H:%M:%S" -d " -9 second") Time03=$(date "+%H:%M:%S" -d " -8 second") Time04=$(date "+%H:%M:%S" -d " -7 second") Time05=$(date "+%H:%M:%S" -d " -6 second") Time06=$(date "+%H:%M:%S" -d " -5 second") Time07=$(date "+%H:%M:%S" -d " -4 second") Time08=$(date "+%H:%M:%S" -d " -3 second") Time09=$(date "+%H:%M:%S" -d " -2 second") Time10=$(date "+%H:%M:%S" -d " -1 second") echo "$Time01 $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 " } # 禁止关键字函数 secure_key(){ tail -n $LINE $LOG |grep "$TODAY\/$MON"|grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3 |grep $4 |awk -F " " ‘{print $1}‘ |sort >> $Deny echo " grep "$TODAY\/$MON" $LOG |grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3 |grep $4 |awk ‘{print $1}‘ |sort" } #执行防火墙拦截函数 secure_deny_ip() { cat $Deny echo ...................... cat $Deny02 for i in $IP;do NUM=$(cat $Deny02|grep $i|awk -F" " ‘{print $1}‘) if [ -z $NUM ];then echo " " else if [ $NUM -ge $Dot ];then for y in $i;do grep $y $Status >/dev/null 2>&1 RETVAL=$? [ $RETVAL != 0 ] && echo "/sbin/iptables -I INPUT -s $y -j DROP" [ $RETVAL != 0 ] && /sbin/iptables -I INPUT -s $y -j DROP [ $RETVAL != 0 ] && echo "$(date "+%H:%M:%S") $y " >> /tmp/$Date #[ $RETVAL != 0 ] && /sbin/iptables -I INPUT -s $y -p tcp -j REJECT done fi fi done } NUMBER="1 2 3 4 5 6" for NUMBER in $NUMBER ;do sleep 10s #定义点击次数 Dot Dot=5 Deny=/tmp/secure_deny_tmp_$NUMBER Deny02=/tmp/secure_deny_$NUMBER #第1次,检查当前时间以前10s. 如: 0-10秒 echo "第$NUMBER 次,检查当前时间以前第$NUMBER 个10s.大于 $Dot 次攻击阻止" echo > $Deny for LOG in `echo $Log` ;do secure_deny_time for TIME in $Time01 $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 ;do secure_key $Key01 done cat $Deny|sort|uniq -c > $Deny02 IP=$(cat $Deny02|awk -F" " ‘{print $2}‘) secure_deny_ip done done exit
二期防攻击策略:
Shell脚本运行的半个月时间里,虽然防止了攻击,但是公司客服反馈有客户被误杀,最严重的是公司有次活动,10秒内发5个短信请求很正常啊,误杀了部分用户,被防火墙禁止IP不能访问任何服务。于是得从nginx应用层找方法,不能用老套方法禁IP了,在网上在找几天的资料解决,几乎没有相同的案例,只能自己创造了。
天道酬勤,终于有了两个思路:
一是nginx结合lua来防攻击(在网上看得我云里雾里的,最后不会lua选择放弃这个方案)。
二是利用ngx_http_referer_module(当时看了2天官网英文资料,http://nginx.org/en/docs/http/ngx_http_referer_module.html,这个页面的让我找到方法,尤其是nginx的if 语句)。
对比攻击日志和正常日志发现,其$http-referer是不同的,如下图:
正常访问:
攻击访问:
最终解决思路:1、去掉了原来的 拦截ip策略,不载拦截ip。 2、启用nignx的location 匹配/account 的$http-referer的过滤,当不是正常$http-referer,直接在再nginx处理。
Nginx配置如下:
location ~ /account(/.*) { if ($http_referer ~ "https://www.touchouwang.net/account/sendPhoneCode") { #如果配置就直接返回200,给可爱的攻击者,不传给后端web return 200; } #不配置,传给后端web proxy_pass http://web_group/account/; }
整个防攻击到现在没有出现任何问题,效果杠杠的。后期会增加第三期,主要是我们NB的开发,从程序级解决,如增加各种验证啊。
本文是 巧妙绝情 一个字一个图打出来,参考了好多资料,感谢他们的分享,基于open source分享精神,转载请注明出出。
支持我,请点击巧妙绝情 谢谢
参考资料:
http://drops.wooyun.org/tips/734
http://nginx.org/en/docs/http/ngx_http_referer_module.html
http://www.ttlsa.com/nginx/nginx-referer