使用 NGINX 流控和 fail2ban 防止 CC 攻击

最新推荐文章于 2025-04-27 14:18:12 发布
最新推荐文章于 2025-04-27 14:18:12 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: linux

背景知识
CC *
者通过创建大量请求导致服务器资源耗尽,主要针对特定服务接口,属于实现 DoS 的一种方式(DoS *更多是针对网络端口,而不是具体服务接口)。

NGINX 流控
limit_req_zone:通过“漏桶”算法限制每个 IP 发起的请求频率。

limit_conn_zone:限制每个 IP 发起的连接数。

fail2ban
通过匹配服务器日志操作 iptables 来限制客户端网络连接。

实践配置
NGINX 部分
在 http 部分中配置:

limit_req_zone binaryremoteaddrzone=sym:10mrate=5r/s;limitconnzone b i n a r y r e m o t e a d d r z o n e = s y m : 10 m r a t e = 5 r / s ; l i m i t c o n n z o n e binary_remote_addr zone=conn_sym:10m;12
然后在需要流控的 location 部分配置:

limit_req zone=sym burst=5; limit_conn conn_sym 10;12
重启 NGINX 后当有超流客户端请求时将在 NGINX error.log(默认在 /var/log/nginx/error.log) 中看到类似记录:

2017/02/12 18:03:57 [error]15965#15965: *61240 limiting requests, excess: 6.000 by zone “sym”, client: 121.41.106.121, server: hacpai.com, request: “GET / HTTP/1.0”, host: “hacpai.com”1
此时请求已经被 NGINX 限流,但是客户端仍然能够继续发送请求,占用服务器资源。

fail2ban 部分
新建 /etc/fail2ban/jail.d/sym.conf 文件,加入如下内容:

[sym-cc]enabled = trueport = https,httpfilter = symlogpath = /var/log/nginx/*error.logmaxretry = 120findtime = 60bantime = 120action = iptables-multiport[name=Sym, port=”https,http”, protocol=tcp] sendmail-whois-lines[name=Sym, dest=youremail@gmail.com]12345678910
findtime 60 秒内如果有超过 maxretry 120 次匹配到则禁止连接 bantime 120 秒。禁止连接通过操作 iptables 实现 。(要发送邮件,需要安装配置好 sendmail)

重启 fail2ban 后当发生超流时可以在 /var/log/fail2ban.log 中看到类似记录:

2017-02-12 18:01:26,968 fail2ban.actions: WARNING [sym-cc] Ban 121.41.106.1211
另外:

fail2ban-client status、fail2ban-client status sym-cc 可以查看当前禁止信息

fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/sym.conf 可以查看配置匹配情况。

注意事项
fail2ban
服务重启可能较慢,耐心等待

findtime 不要小于 60 秒

action 用 iptables-multiport 同时设置 HTTPS 和 HTTP

可能需要自己手动加入操作系统启动项

如果 NGINX 开了 access_log,其实也可以简单粗暴一点直接将 fail2ban 配置到访问日志上,这样就不用配置 NGINX 流控模块了,不过缺点是失去了“弹性”。

NGINX
上面提到的 NGINX 流控模块的“弹性”主要指的是 limit_req_zone 模块中 burst 和 nodelay 两个参数的组合使用。

rate:按照固定速率“漏请求”给后端服务器

burst:可理解为桶大小,能装多少个请求

nodelay:带了这个参数的话在桶装不下时将请求“全部倒给”后端服务器;如果不带的话请求还是按照速率慢慢漏

日志清理
需要定时清理 NGINX、fail2ban 日志,防止磁盘空间占用过大。

参考
CC *

DoS *

Module ngx_http_limit_req_module

Module ngx_http_limit_conn_module

fail2ban

Centos 7.6 Install Fail2Ban
极致,细节
04-28 568
前言 Fail2ban扫描日志文件(例如/ var / log / apache / error_log),并禁止显示恶意迹象的IP-过多的密码错误,寻找漏洞利用等。通常,Fail2Ban然后用于更新防火墙规则以拒绝IP地址在指定的时间内,尽管也可以配置任何其他任意操作(例如,发送电子邮件)。开箱即用Fail2Ban带有针对各种服务(apache,courier,ssh等)的过滤器。 F...
Nginx下limit_req模块burst参数超详细解析
热门推荐
博观而约取,厚积而薄发
11-28 3万+
在学习Nginx的时候遇到了这个问题,百度到了很多博客,大多都讲得不清不楚,在看到了 http://www.wangjingfeng.com/730.html http://cjhust.blog.163.com/blog/static/17582715720111017114121678/ 这两篇博客之后终于疑窦瞬开,在综合了之前看到的博客再加上测试案例之后整理成文。 引言: 漏斗算法...
nginx+fail2ban+iptables 服务器安全设置
qq_17054659的博客
09-15 1568
iptables设置 1.操作系统为centos7.2,默认firewalld防火墙,为了后续方便,需禁用firewalld启用iptables 2.#先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #...
Nginx+Fail2ban 实现同一ip在一分钟内连续三次请求同一接口并响应成功时进行封禁
u012828443的博客
02-18 734
编辑 /etc/fail2ban/jail.local,在末尾加上如下配置#是自定义监项的名称。#启用监项。
十分钟阻断CC攻击——Fail2BanNginx实战
最新发布
@云安全小杜
04-27 589
服务器遭遇CC攻击,大量恶意请求占用连接资源。通过Fail2Ban动态封禁IP,结合Nginx策略,10分钟内恢复服务。创建自定义Jail规则。
Nginx + fail2ban 提高安全性
Jerry的灌水乐园
09-21 4499
通过Nginx做web server时,发现error.log中有很多连接尝试,这个时候fail2ban可以比较好的对付这些爬虫,探测程序等。 # Install fail2ban sudo apt-get install fail2ban # Copy jail.conf at /etc/fail2ban/jail.local and edit it. [nginx-nosc
Fail2ban防止网站CC
peakchao
04-01 1582
Fail2ban可以通过日志监操作防火墙规则,来达到屏蔽IP的功能,可以很好的避免SSH暴力破解网站攻击。 安装Fail2ban前,可以先配置Nginx限制IP访问,具体操作请看我的另一篇博客:https://www.jianshu.com/p/3cb4c82633d1 安装Fail2ban: yum -y install epel-release yum repolis...
谈论Fail2ban+Nginx处理CC攻击DDOS攻击
大唐锦绣的博客
06-27 1618
Fail2ban 是一款开源的入侵防御软件,用于防止暴力破解其他形式的恶意攻击。虽然它主要设计用于检测阻止基于日志的暴力破解尝试,但也可以用于处理低强度的CC(Challenge Collapsar)部分DDoS(分布式拒绝服务)攻击,特别是在Nginx服务器上。
使用FAIL2BANCC屏蔽高频防问
Anthony的专栏
01-07 1187
启动发现fail2ban启动失败,原因是找不到日志文件,发现默认情况下,debian不再有/var/log/auth.log文件,解决办法是安装rsyslog,安装后就有auth.log文件了。这样,Fail2Ban将监HTTP请求日志,如果检测到某个IP在短时间内发起过多请求,将自动封锁该IP一段时间,从而防范CC攻击。这个规则用于匹配HTTP请求的日志条目,你可能需要根据你的Web服务器日志格式进行调整。然后创建一个自定义的Fail2Ban filter规则,以匹配CC攻击的特征。
Fail2ban详细教程,解决网站被扫描、CC攻击、ssh暴力破解、防爬虫等问题
w710537643的博客
02-12 9899
最近网站总是被高频度扫描,导致数据库连接过多,打开页面报“Error establishing a database connection“错误。最开始写了个监网站的脚本,一旦发现网站打不开,重启数据库就好了。但是这几天网站挂掉的频率越来越高,不得不开始寻找新的办法了。 对于网站被恶意扫描、暴力破解、CC 攻击这一系列攻击,都有相似的特征,即高频率发请求导致主机资源使用率飙高。对于这些问题,必须要做两件事,一个是识别恶意发请求的 IP,并封禁;二个是实现网站缓存、静态化等功能减少数据库查询。今天介...
分享一个 Fail2ban 过滤规则
草根博客站长明月登楼的CSDN博客
06-22 863
今天分享给大家的这个过滤规则比较具有综合性,能防范暴力破解又能屏蔽拦截恶意骚扰请求,明月尤其喜欢的就是对 xmlrpc.php 的访问自动过滤允许来自安卓 WordPress 客户端的请求,另外对于那些使用随机伪装 UA 的请求拦截效果也非常的好。】等文了解,总之 Fail2ban 是 Linux 下不可或缺的安全防御工具,特别是针对 Nginx站点日志文件进行实时分析防御效果非常的出众,当你发现自己的站点被暴力破解、恶意爬虫骚扰、采集等等的时候明月非常建议你试试 Fail2ban
nginx使用详解--
liulanba的博客
03-01 1500
Nginx可以通过实现制()来限制对服务器的访问并保护其免受过载的影响,限有以下几种:正常限制访问频率(正常量)突发限制访问频率(突发量)限制并发连接数黑白名单配置。
Nginx 制/限(原理介绍以及两个实验)
一个认真学习的女孩子的博客
01-24 3502
Nginx是一种用于制并发连接数或请求速率的机制,旨在保护服务器免受过多的请求影响,防止因请求过载而导致系统性能下降或崩溃。限是一种制手段,用于限制单位时间内可以通过系统的请求数或连接数。这有助于防止系统超负荷运行,保持系统的稳定性可用性。在高并发的网络环境中,突然涌入的大量请求可能会超出服务器的处理能力,导致性能下降甚至崩溃。通过限,可以平滑处理请求,防止服务器不堪重负。在 Nginx 中,限通常通过 ngx_http_limit_req_module 模块来实现。
Nginx
qq_40907977的博客
06-21 1421
Nginx介绍 量限制(rate-limiting),是Nginx中一个非常实用,却经常被错误理解错误配置的功能。我们可以用来限制用户在给定时间内HTTP请求的数量。请求,可以是一个简单网站首页的GET请求,也可以是登录表单的POST请求。 量限制可以用作安全目的,比如可以减慢暴力密码破解的速率。通过将传入请求的速率限制为真实用户的典型值,并标识目标URL地址(通过日志),还可以用来抵御DDOS攻击。更常见的情况,该功能被用来保护上游应用服务器不被同时太多用户请求所压垮。 本篇文章将会介绍Ngin
nginx
a719792284的专栏
07-15 667
量限制(rate-limiting),是Nginx中一个非常实用,却经常被错误理解错误配置的功能。我们可以用来限制用户在给定时间内HTTP请求的数量。请求,可以是一个简单网站首页的GET请求,也可以是登录表单的POST请求。 量限制可以用作安全目的,比如可以减慢暴力密码破解的速率。通过将传入请求的速率限制为真实用户的典型值,并标识目标URL地址(通过日志),还可以用来抵御DDOS攻击。更常见的情况,该功能被用来保护上游应用服务器不被同时太多用户请求所压垮。 Nginx的”量限制”使用漏桶算法(lea
nginx制与突发
weixin_43783003的博客
09-22 1395
漏桶算法实现nginx与解决突发
阿里云服务器 Linux防止SSH爆破 fail2ban安装使用
小蜜蜂
03-02 1066
目录 1 安装fail2ban 2 配置 3启动 自己的阿里云经常被攻击迫于无奈 查看攻击状态 攻击防护 1 安装fail2ban #安装fial2ban yum -y install fail2ban 装成功后fail2ban配置文件位于/etc/fail2ban,其中jail.conf为主配置文件,相关的匹配规则位于filter.d目录,其它目录/文件一般很少用到。 2...
科普文:软件架构Nginx系列之【辅助神器Fail2Ban
为无为,事无事,味无味。
08-25 1417
Fail2Ban 是一个日志解析应用程序,可保护基于 Linux 的 Web 服务器免受许多安全威胁,例如字典、DoS、DDoS 暴力攻击,它通过监视系统日志中的任何恶意活动并扫描文件以查找与已识别模式匹配的任何条目来工作。如果 Fail2Ban 检测到登录尝试失败的高峰,它会自动将新的防火墙规则添加到您的 iptables 并在指定时间或无限期阻止源地址。安装 Fail2Ban 可帮助服务器所有者自动减少任何非法活动。每当发生攻击时,它还会通过电子邮件向他们发出警报。
fail2ban防止DDos攻击
02-19
### 使用 Fail2ban 防止 DDoS 攻击的最佳实践 #### 修改默认设置增加防护力度 为了增强 Fail2ban 对 DDoS 的防御能力,建议调整 `/etc/fail2ban/jail.conf` 文件中的参数来适应特定环境的需求。例如,可以通过修改 `bantime` 参数延长封禁时间,使得攻击者的 IP 地址被更长时间阻止访问服务[^4]。 ```bash sed -i "234a bantime = 7200" /etc/fail2ban/jail.conf ``` 这行命令会将失败登录后的封禁时间设定为两小时。 #### 自定义过滤器检测异常行为 创建自定义的过滤规则可以帮助识别并响应针对 Web 应用程序或其他网络服务的大规模请求模式。这些规则可以根据日志文件中记录的信息触发相应的行动,比如当发现短时间内来自同一源地址过多连接尝试时就立即采取措施加以限制。 对于 HTTP/HTTPS 量而言,在 Apache 或 Nginx 日志基础上构建专门用于抵御层七 (L7) 类型 DoS/DDoS 的 filter 是非常有效的策略之一;而对于 SSH、FTP 等协议,则应关注其特有的认证过程相关事件作为监重点对象。 #### 调整 maxretry findtime 值优化反应速度 适当调高最大重试次数 (`maxretry`) 并缩短查找窗口期(`findtime`) ,可以让系统更快地察觉到潜在威胁并作出回应。这样即使面对较为隐蔽或是经过伪装处理过的恶意量也能及时做出有效拦截动作而不至于让真正合法用户的正常操作受到影响。 需要注意的是,虽然提高敏感度有助于提升安全性,但也可能带来误判风险——即把正常的高频次但良性的互动错认为是攻击的一部分而错误封锁了无辜访客。因此找到两者之间的平衡至关重要。 #### 定期更新规则集保持有效性 随着新型态网络安全挑战不断涌现以及现有技术手段的发展变化,持续维护升级所使用的防护机制同样不可忽视。官方仓库里定期会有新的改进版本发布出来供社区成员选用,同时也鼓励管理员根据自己站点的具体情况定制专属方案以获得最佳效果。 完成上述配置更改之后记得要重启 Fail2ban 来使新设置生效[^1]: ```bash systemctl restart fail2ban ``` 尽管如此,仍需认识到单靠 Fail2ban 这样的工具并不能完全解决所有的 DDoS 问题,特别是在面临高度复杂化、分布式的大型攻击面前存在一定的局限性[^2]。综合运用多种安全措施才是保障在线资产稳定运行的关键所在。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值