Comment utiliser Nginx pour restreindre divers accès malveillants

À mesure que le développement d'Internet continue de s'accélérer, les attaques d'accès malveillantes se multiplient. Afin d'assurer la sécurité de nos systèmes et de nos données, nous devons trouver un moyen efficace de restreindre les différents accès malveillants. Ici, je vais vous présenter comment utiliser Nginx pour restreindre diverses méthodes d'accès malveillantes.

Nginx est un serveur Web hautes performances qui peut non seulement gérer un grand nombre de requêtes simultanées, mais également réaliser une variété de fonctions en utilisant divers plug-ins et modules. L'une des fonctions importantes est de limiter les attaques d'accès malveillantes. Voici exactement comment y parvenir avec Nginx :

1. Limitations des requêtes du serveur HTTP

Les requêtes HTTP sont un protocole basé sur du texte qui permet à quiconque d'envoyer n'importe quelle requête au serveur via une connexion HTTP. Dans ce cas, sans aucune restriction, le serveur peut être soumis à un grand nombre de requêtes, même émanant d'attaquants malveillants, provoquant une surcharge du serveur et éventuellement un crash. Pour éviter que cela ne se produise, nous devons définir des limites de requêtes HTTP sur le serveur.

En utilisant le module de Nginx, nous pouvons facilement configurer les limites des requêtes HTTP. Tout d'abord, installez le module HttpLimitReq sur le serveur Nginx. Ensuite, éditez le fichier de configuration Nginx et ajoutez le code suivant :

http {

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;

server {
    limit_req zone=mylimit burst=10 nodelay;
}

}

Le code ci-dessus implémente une limite sur les requêtes provenant de la même adresse IP : une seule requête est autorisée par seconde, et seulement la rafale maximale la taille autorisée pour une demande est de 10 demandes.

2. Restrictions d'accès aux adresses IP

Les attaquants malveillants peuvent utiliser un grand nombre d'adresses IP pour attaquer nos serveurs, par exemple en utilisant un grand nombre de serveurs proxy ou en utilisant un grand nombre d'ordinateurs pour mener des attaques DDoS. Pour limiter cette attaque, nous devons mettre en œuvre des restrictions d’accès aux adresses IP.

En utilisant le module HttpAccess de Nginx, nous pouvons facilement implémenter des restrictions d'accès aux adresses IP. Par exemple, on peut ajouter le code suivant :

http {

deny 192.168.1.1;

allow 10.0.0.0/8;
allow 172.16.0.0/12;
allow 192.168.0.0/16;

location / {
    deny all;
    # ...
}

}

Dans le code ci-dessus, on restreint l'accès à l'adresse IP 192.168.1.1, tout en autorisant les adresses IP 10.0.0.0/8 et 172.16.0.0/ 12 et 192.168.0.0/16.

3. Restrictions d'accès à l'user-agent

User-Agent est un champ du protocole HTTP qui indique le type, la version et le système d'exploitation du navigateur ou autre client. Des attaquants malveillants peuvent accéder à nos serveurs en falsifiant des agents utilisateurs. Pour limiter cette attaque, nous devons implémenter des restrictions d'accès User-Agent.

En utilisant le module HttpMap de Nginx, nous pouvons facilement implémenter des restrictions d'accès User-Agent. Par exemple, nous pouvons ajouter le code suivant :

http {

map $http_user_agent $limit_user_agent {
    default    0;
    ~*bot     1;
    ~*spider  1;
    ~*crawler 1;
}

limit_conn_zone $binary_remote_addr zone=mylimit:10m;

server {
    if ($limit_user_agent) {
        return 503;
    }

    limit_conn mylimit 1;
}

}

Dans le code ci-dessus, nous définissons un mappage appelé $limit_user_agent, qui fait correspondre le User-Agent à la variable $limit_user_agent qu'il s'agisse d'un robot ou un milieu robot. Si tel est le cas, une erreur 503 est renvoyée, indiquant que le serveur est occupé, sinon l'accès est autorisé.

Ce qui précède explique comment restreindre divers accès malveillants à l'aide de Nginx. La combinaison de différentes méthodes de restriction permet de mieux protéger la sécurité de nos serveurs. Dans le même temps, nous devons également prêter attention à la mise à jour en temps opportun des divers composants et logiciels du serveur, ainsi qu'à certaines mesures de protection, telles que l'installation de pare-feu, la désactivation des services inutiles, etc., pour garantir que nos serveurs conservent toujours le meilleur état de sécurité.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!