鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 管理员笔记 > nginx > >

安装配置HttpGuard为nginx抵御CC攻击

来源:互联网 作者:佚名 时间:2017-08-31 16:03
0x01 前言 我之介绍过nginx的一款防CC攻击的工具: 安装并使用verynginx抵御CC攻击 ,今天继续介绍一款基于nignx lua的工具。它的功能比较单一,但非常强大有效,主要功能依然是抵御CC攻击。 HttpGuard和verynginx一样,主要通过技术手段检测访客是否为有效

0x01 前言

我之介绍过nginx的一款防CC攻击的工具:安装并使用verynginx抵御CC攻击,今天继续介绍一款基于nignx lua的工具。它的功能比较单一,但非常强大有效,主要功能依然是抵御CC攻击。

HttpGuard和verynginx一样,主要通过技术手段检测访客是否为有效的浏览器以及是否支持跳转来判断是否需要拦截。但HttpGuard还有另一样特别本领,就是可以监测实时的连接数来判断是否需要开启防攻击模块。

0x02 安装

因为HttpGuard也是基于lua开发的,那么我依旧使用openresty(编译安装基于 Nginx 与 Lua 的高性能 Web 平台-OpenResty)进行配置。

然后通过HttpGuard的GitHub地址下载最新源码:

压缩包内包含的文件如下:

我的nignx安装路径为:

所以我将文件都复制到该目录下并修改nginx配置文件:

完成后的简略nginx配置文件如下:

然后修正HttpGuard的安装目录:

0x03 配置防御

完成上面的步骤后,如果通过以下命令测试nginx的配置,你会发现有一个错误:

这是因为默认的验证方法为“验证码”,但我们还没有生成验证码,所以会提示以上错误。

HttpGuard支持以下三种动作:

  • captcha:验证码
  • forbidden:返还403
  • iptables:将IP使用iptables进行屏蔽

0x03.1 被动防御

在配置文件中:limitReqModules为被动防御模块的配置。默认情况下,当访问连接被以下文件中的正则规则匹配,该防御规则就会生效:

其他参数的意义请参考配置文件中的解释,其中的数值需要根据个人的实际情况进行配置。在这里我配置成一个及其低的数值进行测试:

以上配置的意思是,在10秒钟内,超过最大请求数1次就将该IP打入黑洞,直接切断连接。使用浏览器测试的结果如下:

0x03.2 主动防御

主动防御模块有三个:

  • redirectModules:302跳转
  • JsJumpModules:js跳转
  • cookieModules:cookie验证

三者的配置文件如下:

他们默认的状态都是off(关闭)的,我建议如非必要,请不要打开。这会影响一些正常的用户,而且对搜索引擎蜘蛛的爬行产生很大的影响!以下是配置内容的解释:

  • verifyMaxFail:最大失败次数,超过后将屏蔽IP
  • keySecret:验证的token,建议将keyDefine设为dynamic,意为随机生成token;
  • amongTime:验证时间段

上面配置文件的意思是:如果访客在amongTime时间内验证keySecret失败verifyMaxFail次,则打入黑洞,直接切断连接。

以下是测试,首先是redirectModules:

从上图可以看到,当我访问index.php时,被302重定向至一个带了key302验证key的地址,然后我通过curl访问6次,结果如下:


因为curl不跟随跳转,所以当尝试到第6次时,返还了错误,因为服务器没有返还任何内容。

JsJumpModules和redirectModules的结果一样,只是redirectModules跳转采用302响应头的方式,而JsJumpModules采用js的方式。

这是因为某些CC攻击软件会跟随302响应头跳转,但解析不了js,某些情况下使用JsJumpModules会更为有效。

以下是cookieModules的结果:

测试页面的404并不是因为被拦截了,而是因为我这个测试服务器上没有index.php这个文件。

从上图可以看出,响应的数据被Set-Cookie,使用curl测试的结果和redirectModules测试的一样。

以上测试证明所有配置都有效,而且nginx都按照所设置的进行动作了。

0x04 自动化

在这里建议将所有功能设为off,然后启用自动启动功能:autoEnable。这能大大减少在正常状况下对用户的影响,提高服务器的服务质量。配置文件如下:

配置配置解释如下:

  • state:该自动防御模块是否启用
  • protectPort:监听、保护的端口
  • interval:检查间隔
  • normalTimes:检测次数
  • exceedTimes:检测次数
  • maxConnection:连接数
  • ssCommand:ss命令的路径
  • enableModule:模块

上面配置文件的意思是:每interval秒使用ss命令检查一次protectPort端口的连接数,如果连续exceedTimes超过阀值maxConnection则启动相应的模块enableModule;如果连续normalTimes次检测到的数值低于阀值,则关闭相应的模块。

这样就能在正常的时候关闭所有模块,保证不会流失用户。

0x05 验证码

如果想使用验证码进行用户验证,则需要使用php生成所需要的验证码文件:

请先进入相应的文件夹!

请确保硬盘有足够的空间,和足够的内存。生成验证码需要一段时间,请耐心等待。

浏览器测试结果如下:

0x06 其他

以上是一些重要的配置,摘录自配置文件。还有许多配置内容请参考配置文件中的中文解释。

0x07 链接

0x08 结语

这是一个非常棒的lua程序,可以极大程度地抵御CC攻击。如果能和verynginx还有naxsi搭配使用,那就更棒了。

网友评论
<