安全矩阵

 找回密码
 立即注册
搜索
查看: 756|回复: 0

被黑客用nginx攻击了网站,该怎么办?

[复制链接]

179

主题

179

帖子

630

积分

高级会员

Rank: 4

积分
630
发表于 2023-3-25 00:50:10 | 显示全部楼层 |阅读模式
原文链接:被黑客用nginx攻击了网站,该怎么办?
最好的防御方式就是攻击 知己知彼,百战不殆。掌握攻击者的套路才好顶得住攻击。

可能我的读者多少了解过Nginx,我先给不了解的同学简单说一下原理。已经了解的跳到第二节。

3分钟了解Nginx
Nginx是一款高性能的Web服务器和反向代理服务器。

它可以用来搭建网站、做应用服务器,能够处理大量的并发连接和请求。

静态内容托管(主要):可以用来做网页、图片、文件的 “静态”内容托管。
动态内容托管(主要):将经常访问的动态内容缓存到内存中,提高访问速度和性能。
反向代理(主要):将客户端的请求发送到后端真实服务器,并将后端服务器的响应返回给客户端。
类似于一个快递收发室,指挥快递(流量)应该投递到哪个买家。

它还能提供一些
高级功能

负载均衡:将客户端的请求分发到多个后端服务器上,从而提高服务的可用性和性能。
SSL/TLS加密传输:通过加密和认证保护数据传输安全。
HTTP/2支持:通过多路复用技术提高并发连接处理能力和页面加载速度。
安全防护:提供多种防护机制,如限制IP访问、请求频率限制、反爬虫等。
动态内容处理:支持FastCGI、uWSGI等协议,与后端应用服务器进行动态内容交互。
日志记录:记录访问日志和错误日志,方便监控和排查问题。
自定义模块开发:支持自定义模块开发,可以根据需求进行二次开发和扩展。
读到这里,我知道很多人脑子都要爆了。现在让我们直入主题。结合以上功能的能做哪些攻击方式。

反向代理攻击
使用Nginx作为反向代理服务器,将攻击流量转发到目标服务器。这样就能隐藏攻击流量的真实地址。

  1. server {
  2.     listen 80;
  3.     server_name www.example.com;
  4.     location / {
  5.         proxy_pass http://backend_server;
  6.         proxy_set_header Host $host;
  7.         proxy_set_header X-Real-IP $remote_addr;
  8.     }
  9. }
复制代码


所有访问www.example.com:80的流量全部都会转发到http://backend_server服务器上。
proxy_set_header X-Real-IP $remote_addr; 设置请求头提供真实来源ip。
proxy_set_header Host $host;设置访问的Host。
只要把X-Real-IP改成其他不存在的IP,就可以隐藏自己的真实IP地址,让攻击更难以被追踪和防御。当然相对于客户端来说,只能知道nginx的地址就不知道真实服务器的地址了。

DDoS攻击
DDoS攻击就是借助某些工具瞬间发动大量的请求,让服务器资源耗尽,无法正常响应其他用户的请求,一般也常用于压力测试。介绍一些常用的工具:

ApacheBench (ab):常用的命令行工具,用于模拟多个并发请求。可以控制请求总数、并发数等参数。
Siege:命令行工具,和上面一样,并且还支持 HTTP 和 HTTPS 协议。
JMeter:一个功能强大的 Java 应用程序,可以用于模拟各种负载情况。JMeter 可以通过图形界面进行配置,支持更多协议和数据格式,包括 HTTP、HTTPS、SOAP、REST 等。
但事实往往比这个残酷,攻击者会做一些病毒,在网络上传播开来,病毒运行时可以直接疯狂访问服务器,或者利用Nginx提供的反向代理和其支持的比如socket、SSL,不断的建立握手请求。

限流、黑名单防御
小熊主要给大家介绍怎么防御。这种病毒感染方式就不说了,我害怕戴银手铐。

  1. http {
  2.     limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;

  3.     geo $block {
  4.         default 0;
  5.         include /path/to/block_ip.txt;
  6.     }

  7.     server {
  8.         listen 80;

  9.         location / {
  10.             limit_req zone=one burst=10 nodelay;
  11.             if ($block) {
  12.                 return 403;
  13.             }
  14.             proxy_pass http://backend;
  15.         }
  16.     }
  17. }
复制代码


limit_req_zone 定义了一个名为“one”的限制请求速率的区域,该区域的大小为10MB,请求速率限制为每秒5个请求。
limit_req 指定使用名为“one”的限制规则。
geo $block是黑名单,这个文件可以写需要屏蔽的ip。
server块中的location指令使用了limit_req和if表示黑名单的返回403状态码。
负载均衡防御
假设我有两个后端服务器。

  1. http {
  2.   upstream backend {
  3.     # 轮询方式的负载均衡
  4.     server backend1.example.com;
  5.     server backend2.example.com;
  6.   }
  7. ...
  8.   server{...}
  9. }
复制代码


有多种负载均衡方式。

  1. server {
  2.    ...
  3.     location /api/ {
  4.       # 轮训
  5.       proxy_pass http://backend;
  6.     }

  7.     location /lb/ {
  8.       # IP哈希方式的负载均衡
  9.       ip_hash;
  10.       proxy_pass http://backend;
  11.     }

  12.     location /upstream/ {
  13.       # 根据服务器性能或响应时间进行加权轮询
  14.       upstream backend {
  15.         server backend1.example.com weight=2;
  16.         server backend2.example.com;
  17.       }
  18.       # 对 backend 进行访问
  19.       proxy_pass http://backend;
  20.     }

  21.     location /least_conn/ {
  22.       # 最少连接数的负载均衡
  23.       least_conn;
  24.       proxy_pass http://backend;
  25.     }

  26.     location /random/ {
  27.       # 随机方式的负载均衡
  28.       random;
  29.       proxy_pass http://backend;
  30.     }

  31.     location /sticky/ {
  32.       # 基于客户端IP的哈希方式的负载均衡
  33.       hash $remote_addr consistent;
  34.       server backend1.example.com;
  35.       server backend2.example.com;
  36.     }
  37.   }
复制代码


很多人学nginx都会对ip_hash和基于客户端IP的哈希方式的负载均衡有疑惑。分不清,我一句话给大家讲清楚。

ip_hash能保证相同来源一定能访问相同的服务器,适用于登录等有状态的场景。在请求量少的时候,容易出现很多ip落在同一服务器上,分布不均衡。
基于客户端ip的hash,是根据客户端 IP 地址计算哈希值,然后将哈希值与后端服务器数量取模。使请求平均分配到不同的服务器上,也能保证同一ip请求落到同一服务器上。但是可以保证各个服务器比较均衡。
我认为使用方式二更好,可能理解有限,欢迎各位读者分享自己的看法!

网络钓鱼攻击
黑客可以使用Nginx伪装成一个合法的网站,诱骗用户输入敏感信息。例如,他们可以使用Nginx构造一个伪造的登录页面,让用户输入用户名和密码,然后将这些信息发送给黑客服务器。

其实就是静态托管+反向代理功能的组合。

  1. server {
  2.     listen       80;
  3.     server_name  example.com;

  4.     # 静态网站托管
  5.     location / {
  6.         root   /var/www/mywebsite/dist;
  7.         index  index.html index.htm;
  8.     }

  9.     # API代理转发
  10.     location /api {
  11.         proxy_pass  http://localhost:8000;
  12.         proxy_set_header Host $host;
  13.         proxy_set_header X-Real-IP $remote_addr;
  14.     }
  15. }
复制代码


访问根目录就访问到静态的网站资源。
访问/api路由转发到api服务上。
我的博客就用了这种方式,同样的我写了很多了不同的server{}块,来监听不同的域名,这样我可以把多个网站全部部署在同一台机器上,极限利用服务器资源。

最后
这两天在写一个小程序,计划做成程序员资源、求助、内推、课程、学习路线图之类的综合类小程序,所以更新有点慢了,见谅见谅。
对于今天所述的文章,真正有不良居心的人,总是会有更sao的攻击方法。我也不敢说得太多,而且这些攻击的行为都是违法的,建议大家学会以后手下留情。
今天的目的实际上是教大家学会nginx的常用配置方法,用心良苦,莫辜负点个赞再走。



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 22:00 , Processed in 0.018023 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表