一次大规模网站攻击防御报告.docVIP

一次大规模网站攻击防御报告 笔者所在的网站在某一个晚上出现大范围的攻击，据事后统计而知，这次用了攻击方用了大约50万并发持续攻击网站，一看网站应用服务器的负载很高，怪不得很慢呢。接下来开始分析和解决问题。 一、?攻击描述 年初开始，网站应用服务器网卡流量普遍蹿升到100M以上，其中几台服务器网卡流量更是达到了204Mbps。随之带来的就是访问速度逐渐变慢,网络带宽数次被用完。 二、?攻击分析 1、 既然是网卡流出100M以上，那么一定有不正常的请求地址过来，接着服务器才会响应并发送到客户端。由此判断是请求的地址有异常 应用服务器受到攻击时的网卡流量图 网站应用服务器受到攻击时的负载现象 2、?分析web日志，可以发现很多IP同时在一秒钟对的多个地址发送GET请求，且返回的地址的流量在200k-300k之间。试想一下，返回一个php地址，怎么会有200多k的流量，那么就一定是恶意的请求。看下面url中的 232347，这个232347，就是返回给客户端的流量。 28 - - [07/Mar/2012:14:24:23 +0800] GET /forum-116-20.html HTTP/1.0 200 232347 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) - 28 - - [07/Mar/2012:14:24:23 +0800] GET /forum-1402-1.html HTTP/1.0 200 253872 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) - 28 - - [07/Mar/2012:14:24:23 +0800] GET /forum-63-1.html HTTP/1.0 200 118163 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) - 28 - - [07/Mar/2012:14:24:23 +0800] GET /forum-1342-1.html HTTP/1.0 200 235327 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) - 28 - - [07/Mar/2012:14:24:23 +0800] GET /forum.php?mod=forumdisplayfid=58 HTTP/1.0 200 283377 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) - 3、攻击主要针对php应用，php并发跟nginx差了好几个数量级。这次攻击，平均每台php 每秒最高承受200个并发，绝大部分的针对列表页，直接对数据库造成影响。 四、解决方案 1、防火墙封IP（不推荐） 用封IP的方式来阻止攻击源IP，是一种方法，起初，我是采用了这种方法，但是这样封IP，还需要到日志中去搜索。比较繁琐，而且效果不明现。 2、Nginx被动防御（推荐） 还记得日志中的相同的user-agent的没有，nginx这次利用了user-agent来防御攻击。 在的nginx的配置文档的上面加入了 if ( $http_user_agent ~* Mozilla/4.0\ \(compatible;\ MSIE\ 6.0;\ Windows\ NT\ 5.0\;\ .NET\ CLR\ 1.1.4322\) ) { return 444; } 重启nginx后，nginx 在日志中检测到该类user-agent时，就会返回444 http 状态码，既请求失败。这样设置后，各应用服务器负载恢复到正常，网卡流量正常。 45 - - [07/Mar/2012:10:53:12 +0800] GET /forum-222-1.html HTTP/1.0 444 0 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) 45 - - [07/Mar/2012:10:53:12 +0800] GET /forum-222-1.html HTTP/1.0 444 0 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) 45 - - [07/Mar/201