nginx基础与通过fail2ban防御cc攻击

几年前写过一些nginx基础防御cc攻击的脚本教程,但是今天去看都几年没有更新了,有的不符合现有的程序使用。

当然这类脚本、程序都很多,随便找个合适自己的就行了,因为我之前都是基于lua,这次就直接以nginx默认的和另外个程序来测试,毕竟搜索的时候,出来的参考就它fail2ban在前面,也就不翻后面了。

这次主要还弄,是因为有个域名没有备案,不能用国内的cdn服务,又不想用cloudflare的cdn,因为国内大部分地区都无法访问套cf的网站。

nginx自带:

1、修改nginx.conf文件,在http段落里面添加代码,根据自己情况来。

limit_conn_zone $binary_remote_addr zone=limit_conn:10m;
#分配10m内存
limit_req_zone $binary_remote_addr zone=limit_req:10m rate=5r/s;
#每秒请求5次
limit_req_zone $binary_remote_addr zone=limit_req_s:10m rate=10r/m;
#搜索每分钟请求10次,这个不一定

2、修改网站配置文件,在server段落里面添加代码:

limit_conn limit_conn 10;
#限制单ip并发不能超过10
limit_req zone=limit_req burst=10 nodelay;
#限制每秒请求不能超过10

如果超过限制就会返回503错误,然后用服务器防火墙封禁ip,看看自己的是iptables还是firewalld。

iptables -I INPUt -p tcp -s 要封ip -j DROP
#iptables
firewall-cmd --add-rich-rule="rule family='ipv4' source address='要封ip' reject"
# firewalld

搭配fail2ban

yum install -y fail2ban
#安装fail2ban

可以根据自己需要来配置过滤配置,我也就按照我找到的教程写来,第一次接触,因为时间原因也不过多研究了。

在/etc/fail2ban/filter.d目录新建个test.conf文件

# fail2ban filter configuration for nginx


[Definition]

failregex = ^<HOST> .* "(GET|POST|HEAD).*HTTP.*" (404|503) .*$
ignoreregex =.*(robots.txt|favicon.ico|jpg|png)
nginx基础与通过fail2ban防御cc攻击

然后就在/etc/fail2ban/目录下,新建个local文件,直接复制新建就行了。

cp jail.conf jail.local

不要删除默认的jail.conf文件,fail2ban服务会读取conf和local文件,并且会覆盖先前读取的。

然后在jail.local里面最后添加代码:

[test]
enabled = true
#port = http,https
#前面加#或者直接删了,就是监控所有端口
filter = nginxcc
#过滤器名称
action = firewallcmd-allports[name=test]
logpath = /data/wwwlogs/access_nginx.log
#自己nginx的访问日志
maxretry = 5
#阀值
findtime = 600
#时间间隔
bantime = 3600
#封禁时长
ignoreip = 127.0.0.1
#过滤本地和自己服务器ip等

测试规则:

fail2ban-regex /data/wwwlogs/access_nginx.log /etc/fail2ban/filter.d/test.conf

其他的可以自己看下

systemctl enable fail2ban.service 
#开机启动
systemctl start fail2ban.service 
#立即启动
systemctl status fail2ban.service
#查看状态
fail2ban-client statu
#查看jail状态

查看日志,可以根据里面情况来封禁ip

fail2ban-client set test unbanip ip
#封
fail2ban-client set test banip ip
#解封

最后可以关注下日志,自己nginx和网站配置日志、然后还有fail2ban默认日志:/var/log里面。

这些都只是很简单的基础防御,针对大型攻击是没用的,不过也可以学习了解下。

如果你域名备案了,建议使用腾讯云的CDN服务,比阿里云更划算,也更适合个人、小公司,阿里云的cdn安全服务太贵了。

如果你域名没有备案,又不在意国内访问,就使用cloudflare的cdn服务,安全防御更强大。

参考:

https://tlanyan.me/server-protect-cc-attack/

https://www.fail2ban.org/wiki/index.php/MANUAL_0_8

本站所有内容均为自己码的字,部分代码来源搜索,转载请个原文链接,谢谢~ | 联系我 | 服务器推荐 |

你可能喜欢