利用Nignx巧妙解決我所遇到的DDOS攻擊-php教程-PHP中文網

首頁

後端開發

php教程

利用Nignx巧妙解決我所遇到的DDOS攻擊

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 29, 2016 am 09:07 AM

quot

1. 問題

自家的APP上線已經有一段時間了，突然有一天發現線上產品居然不能發送驗證碼。

登入第三方簡訊驗證碼服務後台，發現問題很嚴重。

2015-12-25575%2015-12-235youbiquan 492015-12-226youbiquan542015-12-2143發現幾天前，簡訊服務居然發出去15,000多條簡訊出去，直接把服務費刷光了。要找原因就只能找 Nignx 的日誌了。日誌中，發現大量的對短信接口的訪問，並且在我查看時候，日誌依然在瘋狂的追加，是典型的ddos攻擊了。當然最核心的內容還是對簡訊介面的瘋狂訪問量

221.178.182.21 - - [05/Jan/2016:16:19:25 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.3; XM50h Build/19.1.1.C.1.2)" "-"
171.82.225.66 - - [05/Jan/2016:16:19:32 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.4; 2014812 MIUI/V6.6.3.0.KHJCNCF)" "-"
171.82.225.66 - - [05/Jan/2016:16:19:32 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.4; 2014812 MIUI/V6.6.3.0.KHJCNCF)" "-"
110.89.16.13 - - [05/Jan/2016:16:19:49 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"
110.89.16.13 - - [05/Jan/2016:16:19:49 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"
118.114.160.200 - - [05/Jan/2016:16:21:26 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
118.114.160.200 - - [05/Jan/2016:16:21:39 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
119.122.0.136 - - [05/Jan/2016:16:21:41 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
118.114.160.200 - - [05/Jan/2016:16:21:51 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"

甚至在很多訪問量過大時候，都會覺得伺服器不能正常提供服務，處於崩潰的邊緣。

3	youbiquan	15797	2015-12-25797


	54	2015-12-2115-12-213	2015-12-20

2. 臨時方案

在搞清楚問題之前，首先想到的是，先把短信服務停掉，讓攻擊者不能訪問服務，但是又不能將服務器關掉，畢竟線上用戶還在使用。

所以先用nginx把這個介面rewrite了。

if ( $request_uri ~* "showType=smsAuthcode" )
{  
    rewrite ^/ http://www.baidu.com/;
}

當然配置方法可能有很多，這裡只是提供一個解決問題的思路，具體配置還可以參考更專業的nginx配置的資料。

首先給百度抱歉，把攻擊請求轉發給百度了。其實隨便return一個值就好了，例如200.

3. 基於log分析的方案

當然問題這樣，並不能算解決，線上用戶也不能算是新用戶了。

我首先想到的方案還是對IP訪問限制，分析了一下log，有的ip攻擊次數到達幾千次，當然也有的ip只有幾次訪問。對於訪問幾次的ip，其實沒有辦法確定是真用戶還是攻擊機器的IP。在網路上找了一個可以讓某個接口，在一定時間內，限制ip訪問次數的方案。

iptables -A INPUT -p tcp --dport 80 -d xx.xx.xx.xx -m string --string "/myinterface?showType=smsAuthcode" --algo kmp -m recent --name httpuser --set
iptables -A INPUT -m recent --update --name httpuser --seconds 86400 --hitcount 4 -j LOG --log-level 5 --log-prefix 'HTTP attack: '
iptables -A INPUT -m string --string "/myinterface?showType=smsAuthcode" --algo kmp -m recent --update --name httpuser --seconds 86400 --hitcount 10 -j REJECT

基本的含義，就是對訪問的請求進行字符串匹配，如果發現有對短信接口的訪問，就使用recent模組記錄下來訪問，如果在一天中訪問超過4次，就不讓再訪問短信接口。

其實也是有一定效果的方案

序號

帳號數量(條)

2016-01-082016-01-052016-01-06某一天，一籌莫展的時候，我又打開nginx訪問日誌，突然發現攻擊的行為的 user－agent都好短，和其他訪問的user－agent有明顯差別。似乎攻擊者的user－agen都是“Mozila/5.0“，然後就沒有了，而其他的訪問，會有更多信息，包括系統版本，瀏覽器等。按照這樣的猜想，我去用程式分析user－agent，果然只有訪問簡訊介面的UA中存在很短的「Mozila/5.0“，其他存取不存在這個UA，但是還有一些不短的UA於是在nginx的配置裡，加了下面幾段程式碼2016-01-09

	2	youbiquan	540
3	youbiquan	2857	2016-01-4434bi 88
	5	youbiquan	2469
		雖然採用基於ip地址的防範，有點效果，但是依然沒有防火牆根本防住的，我們平條時左右也發防火牆設定後，依然每天有幾千條。分析後發現，這個攻擊使用的IP位址是太多了，所以感覺用IP位址防根本沒有希望。
Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-" 於是就搜了一下，發現Dalvik是一個Android虛擬機，瞬間覺得明朗了，感覺完全可以基於UA防範，把Mozila/5.0和虛擬機全攔截住，問題不就解決了麼。	if ($http_user_agent = "Mozilla/5.0") { return 503; } if ($http_user_agent ~* "Dalvik/1.6.0") { return 503; }	第一段就是嚴格匹配 Mozila/5.0 第二段的意思以 Dalvik開頭的UA，就是虛擬機的UA。	果然在採用這個方式防範以後，瞬間有了明顯效果。
	2	youbiquan	57

了幾支手機測試了一下，也是OK的。

不過也不能高興的太早，似乎攻擊者也很容易偽造UA，想要完全解決DDOS，還要更多學習科學文化知識才行～

以上就介紹了利用Nignx巧妙解決我所遇到的DDOS攻擊，包括了方面的內容，希望對PHP教程有興趣的朋友有所幫助。

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP和Python：解釋了不同的範例Apr 18, 2025 am 12:26 AM

PHP主要是過程式編程，但也支持面向對象編程（OOP）；Python支持多種範式，包括OOP、函數式和過程式編程。 PHP適合web開發，Python適用於多種應用，如數據分析和機器學習。

PHP和Python：深入了解他們的歷史Apr 18, 2025 am 12:25 AM

PHP起源於1994年，由RasmusLerdorf開發，最初用於跟踪網站訪問者，逐漸演變為服務器端腳本語言，廣泛應用於網頁開發。 Python由GuidovanRossum於1980年代末開發，1991年首次發布，強調代碼可讀性和簡潔性，適用於科學計算、數據分析等領域。

在PHP和Python之間進行選擇：指南Apr 18, 2025 am 12:24 AM

PHP適合網頁開發和快速原型開發，Python適用於數據科學和機器學習。 1.PHP用於動態網頁開發，語法簡單，適合快速開發。 2.Python語法簡潔，適用於多領域，庫生態系統強大。

PHP和框架：現代化語言Apr 18, 2025 am 12:14 AM

PHP在現代化進程中仍然重要，因為它支持大量網站和應用，並通過框架適應開發需求。 1.PHP7提升了性能並引入了新功能。 2.現代框架如Laravel、Symfony和CodeIgniter簡化開發，提高代碼質量。 3.性能優化和最佳實踐進一步提升應用效率。

PHP的影響：網絡開發及以後Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP類型提示如何起作用，包括標量類型，返回類型，聯合類型和無效類型？Apr 17, 2025 am 12:25 AM

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示：自PHP7.0起，允許在函數參數中指定基本數據類型，如int、float等。 2)返回類型提示：確保函數返回值類型的一致性。 3)聯合類型提示：自PHP8.0起，允許在函數參數或返回值中指定多個類型。 4)可空類型提示：允許包含null值，處理可能返回空值的函數。

PHP如何處理對象克隆（克隆關鍵字）和__clone魔法方法？Apr 17, 2025 am 12:24 AM

PHP中使用clone關鍵字創建對象副本，並通過\_\_clone魔法方法定制克隆行為。 1.使用clone關鍵字進行淺拷貝，克隆對象的屬性但不克隆對象屬性內的對象。 2.通過\_\_clone方法可以深拷貝嵌套對象，避免淺拷貝問題。 3.注意避免克隆中的循環引用和性能問題，優化克隆操作以提高效率。