Citrons

Nginx环境防御CC
CC的基本原理:CC攻击利用代理服务器向网站发送大量需要较长计算时间的URL请求,如数据库查询等,导致服务器进行大...
扫描右侧二维码阅读全文
24
2018/08

Nginx环境防御CC

CC的基本原理:

CC攻击利用代理服务器向网站发送大量需要较长计算时间的URL请求,如数据库查询等,导致服务器进行大量计算而很快达到自身的处理能力而形成DOS。而攻击者一旦发送请求给代理后就主动断开连接,因爲代理并不因爲客户端这边连接的断开就不去连接目标服务器。因此攻击机的资源消耗相对很小,而从目标服务器看来,来自代理的请求都是合法的。

以前防CC攻击的方法

为了防范CC,以前的方法一个是限制每个IP的连接数,这在地址范围很广阔的情况下比较难实现;二是限制代理的访问,因为一般的代理都会在HTTP头中带 X_FORWARDED_FOR字段,但也有局限,有的代理的请求中是不带该字段的,另外有的客户端确实需要代理才能连接目标服务器,这种限制就会拒绝一些正常用户访问。
CC攻击用硬防难防住
CC攻击比DDOS攻击更可怕的就是,CC攻击一般是硬防很难防止住的。
个人分析原因有三:
一、因为CC攻击来的IP都是真实的,分散的;
二、CC攻击的数据包都是正常的数据包;
三、CC攻击的请求,全都是有效的请求,无法拒绝的请求。

防CC攻击思路

防CC有效性在于攻击方不接受服务器回应的数据,发送完请求后就主动断开连接,因此要确认连接是否是CC,服务器端不立即执行URL请求命令,而是简单的返回一个页面转向的回应,回应中包含新的URL请求地址。如果是正常访问,客户端会主动再次连接到转向页面,对用户来说是透明的;而对于CC攻击者,由于不接收回应数据,因此就不会重新连接,服务器也就不需要继续进行操作。

防御方法:

主要是通过nginx和lua来配合,达到防御的目的。

一、Nginx编译支持lua

下载lua-nginx-module

wget https://github.com/openresty/lua-nginx-module/archive/master.zip
unzip master.zip

编译
注意:第一排和最后一排无法复制,由于typecho博客系统对于井号是放大主体功能 所以就只能你们自己打一下
点击查看原图

--user=nginx \
--group=nginx \
--prefix=/usr/local/gacp/nginx \
--error-log-path=/data/logs/nginx/error/error.log \
--http-log-path=/data/logs/nginx/access/access.log \
--pid-path=/usr/local/gacp/nginx/conf/nginx.pid \
--lock-path=/var/lock/nginx.lock \
--with-http_flv_module \
--with-http_stub_status_module \
--with-http_ssl_module \
--with-pcre \
--with-http_realip_module \
--with-http_gzip_static_module \
--with-google_perftools_module \
--with-file-aio \
--add-module=../ngx_cache_purge-2.3 \
--add-module=../lua-nginx-module-master

二、配置

http {
.....
limit_req_zone $cookie_token zone=session_limit:3m rate=1r/s;
limit_req_zone $binary_remote_addr $uri zone=auth_limit:3m rate=1r/m;
 
 
}
 
server {
listen 80;
server_name localhost;
access_log /data/logs/nginx/access/localhost.access.log main;
error_log /data/logs/nginx/error/localhost.error.log;
charset utf-8;
client_max_body_size 75M;
root /data/www;
 
location / {
 
limit_req zone=session_limit burst=5;
 
rewrite_by_lua '
local random = ngx.var.cookie_random
if(random == nil) then
return ngx.redirect("/auth?url=" .. ngx.var.request_uri)
end
 
local token = ngx.md5("opencdn" .. ngx.var.remote_addr .. random)
if(ngx.var.cookie_token ~= token) then
return ngx.redirect("/auth?url=" .. ngx.var.request_uri)
end
';
}
 
location /auth {
limit_req zone=auth_limit burst=1;
 
if ($arg_url = "") {
return 403;
}
 
access_by_lua '
local random = math.random(9999)
local token = ngx.md5("opencdn" .. ngx.var.remote_addr .. random)
if(ngx.var.cookie_token ~= token) then
ngx.header["Set-Cookie"] = {"token=" .. token, "random=" .. random}
return ngx.redirect(ngx.var.arg_url)
end
';
 
}
}

这样就可以抵御CC了

广而告之:

Last modification:April 23rd, 2019 at 08:11 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment

2 comments

  1. 许默资源网

    稽器人,你博客改版之后,变卡了许多。⌇●﹏●⌇

    1. Citrons
      @许默资源网

      现在应该好了。