首頁  >  文章  >  運維  >  Nginx反向代理防範Bot的攻擊

Nginx反向代理防範Bot的攻擊

王林
王林原創
2023-06-10 19:48:081398瀏覽

隨著網路科技的發展,防範Web攻擊成為了網站安全的重要議題。 Bot作為一種自動化攻擊工具,已經成為了Web攻擊的主要形式之一。特別是透過反向代理服務的Nginx,因其高效、穩定、靈活及自訂的特點,得到了廣泛的應用。針對Nginx反向代理下的Bot攻擊,本文將提供一些有效的防範措施。

1.開啟Access Log

Nginx提供了Access Log功能,可以記錄每個要求的HTTP協定、來源IP、請求時間、回應狀態碼等資訊。透過開啟Access Log,可以更方便偵測Bot攻擊。

在Nginx設定檔中加入以下內容:

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;
    ……
}

2.新增限制IP

在Nginx設定檔中新增限制IP的方法,可以有效地杜絕來自特定地區IP的攻擊。例如,加入以下內容可以防止來自中國大陸地區的攻擊:

http {
    deny   61.135.0.0/16;
    deny   118.25.0.0/16;
    ……
}

3.使用GeoIP模組

Nginx的GeoIP模組可以將存取來源IP與其所在的地理位置相符。只需安裝GeoIP模組和GeoIP庫,即可使用GeoIP變數來偵測IP來源地區。例如:

http {
    geoip_country /usr/share/GeoIP/GeoIP.dat;
    geoip_city    /usr/share/GeoIP/GeoIPCity.dat;

    server {
        location / {
            if ($geoip_country_code = CN) {
                return 403;
            }

            if ($geoip_city_name ~* "moscow") {
                return 403;
            }
        }
    }
}

4.新增HTTP Referer驗證

HTTP Referer可以用來驗證請求來源。只要在Nginx設定檔中加入以下內容:

http {
      server {
            if ($http_referer ~* (blacklist1|blacklist2|blacklist3)) {
                    return 403;
            }
      }
}

5.利用Nginx防CC攻擊

Nginx提供了一些功能來防止CC攻擊。只需在Nginx設定檔中進行設定:

http {
      limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

      server {
            location / {
                  limit_req zone=one burst=5;
                  ……
            }
      }
}

6.啟用SSL憑證

#透過啟用SSL憑證,可以防止在HTTP協定層面的資料竊取和中間人攻擊。同時,可以啟用HTTP Strict Transport Security(HSTS)機制,阻止HTTP請求強制轉換為HTTP請求,從而實現在未來一段時間內所有存取以HTTPS存取。

http {
      server {
            listen 443 ssl;

            ssl_certificate /path/to/cert;
            ssl_certificate_key /path/to/key;

            add_header Strict-Transport-Security "max-age=315360000; includeSubDomains; preload;";
      }
}

總結

Nginx反向代理伺服器的安全性,直接影響整個Web應用系統的安全性。針對Bot的攻擊,透過開啟Access Log、新增限制IP、使用GeoIP模組、新增HTTP Referer驗證、利用Nginx防CC攻擊和啟用SSL憑證等措施,可以幫助Nginx反向代理伺服器避免假冒請求和惡意攻擊,保護Web應用系統的安全性。

以上是Nginx反向代理防範Bot的攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn