Nginx根据http_user_agent过滤防DDOS攻击

一.日志查看

#tail -f access.log

# tail -f logs/www_mrliangqi.log

91.200.12.90 - - [12/May/2016:14:30:44 +0800] "POST /wp-comments-post.php HTTP/1.0" 500 3294 "http://www.mrliangqi.com/516.html" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36" "-"

首先查看访问日志,找到http_user_agent的特征,然后再做过滤。

"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36"

二.配置http_user_agent

location / {

if ($http_user_agent ~ " Mozilla " ){

proxy_pass  http://www.qq.com;

}

proxy_pass  http://www.mrliangqi.com;

}

这样用户浏览器信息带Mozilla的时候,就会反代到qq。

三.Nginx的Location可以有以下几个匹配

  1. = 严格匹配这个查询。如果找到,停止搜索。
  2. ^~ 匹配路径的前缀,如果找到,停止搜索。
  3. ~ 为区分大小写的正则匹配
  4. ~* 为不区分大小写匹配

5.!~和!~*分别为区分大小写不匹配及不区分大小写不匹配

文件及目录匹配

* -f和!-f用来判断是否存在文件

* -d和!-d用来判断是否存在目录

* -e和!-e用来判断是否存在文件或目录

* -x和!-x用来判断文件是否可执行

$arg_PARAMETER #这个变量包含GET请求中,如果有变量PARAMETER时的值。

$args #这个变量等于请求行中(GET请求)的参数,例如foo=123&bar=blahblah;

$binary_remote_addr #二进制的客户地址。

$body_bytes_sent #响应时送出的body字节数数量。即使连接中断,这个数据也是精确的。

$content_length #请求头中的Content-length字段。

$content_type #请求头中的Content-Type字段。

$cookie_COOKIE #cookie COOKIE变量的值

$document_root #当前请求在root指令中指定的值。

$document_uri #与$uri相同。

$host #请求主机头字段,否则为服务器名称。

$hostname #Set to the machine’s hostname as returned by gethostname

$http_HEADER

$is_args #如果有$args参数,这个变量等于”?”,否则等于”",空值。

$http_user_agent #客户端agent信息

$http_cookie #客户端cookie信息

$limit_rate #这个变量可以限制连接速率。

$query_string #与$args相同。

$request_body_file #客户端请求主体信息的临时文件名。

$request_method #客户端请求的动作,通常为GET或POST。

$remote_addr #客户端的IP地址。

$remote_port #客户端的端口。

$remote_user #已经经过Auth Basic Module验证的用户名。

$request_completion #如果请求结束,设置为OK. 当请求未结束或如果该请求不是请求链串的最后一个时,为空(Empty)。

$request_method #GET或POST

$request_filename #当前请求的文件路径,由root或alias指令与URI请求生成。

$request_uri #包含请求参数的原始URI,不包含主机名,如:”/foo/bar.php?arg=baz”。不能修改。

$scheme #HTTP方法(如http,https)。

$server_protocol #请求使用的协议,通常是HTTP/1.0或HTTP/1.1。

$server_addr #服务器地址,在完成一次系统调用后可以确定这个值。

$server_name #服务器名称。

$server_port #请求到达服务器的端口号。

$uri #不带请求参数的当前URI,$uri不包含主机名,如”/foo/bar.html”。该值有可能和$request_uri 不一致。$request_uri是浏览器发过来的值。该值是rewrite后的值。例如做了internal redirects后。

rewrite后面的flag可以是:

last

break

redirect

permanent

proxy_pass http://localhost:80;

proxy_set_header Host $host;

可以自动改变转发以后的域名信息

四.实例

防盗链:

location ~* \.(gif|jpg|swf)$ {

valid_referers none blocked start.igrow.cn sta.igrow.cn;

if ($invalid_referer) {

rewrite ^/ http://$host/logo.png;

}

}

禁止访问某个目录:

location ~* \.(txt|doc)${

root /data/www;

deny all;

}

完整配置举例:

location  = / {

# 只匹配 / 查询

[ config A ]

}

location  / {

# 匹配任何查询,因为所有请求都是 / 开头。

# 但是正则表达式规则和长的块规则将被优先和查询匹配。

[ config B ]

}

location ^~ /images/ {

# 匹配任何已 /images/ 开头的任何查询并且停止搜索。任何正则表达式将不会被测试。

[ config C ]

}

location ~* \.(gif|jpg|jpeg)$ {

# 匹配任何已 gif、jpg 或 jpeg 结尾的请求。

# 然而所有 /images/ 目录的请求将使用 Configuration C

[ config D ]

}

以上内容pdf版本下载:Nginx根据http_user_agent过滤防DDOS攻击.pdf


1 条评论

发表评论

登录 后发表评论.