软防护dos攻击方法 conv.docxVIP

软防护dos攻击

笔记本：创建时间：

一、概述

应急

2022/4/148:57

二、常见防护方法

2.1中间件屏蔽关键字2.1.1ngix中间件

2.2bash脚本防护三、小结

一、概述

在如今互联网时代，小程序投票已经变得越来越普及，通过转发朋友圈，来让大家进行投票，原本这是一种相对公平的方法，让大家根据自己的喜好选出喜欢的作品。但是随着利益的驱使，网络上出现了很多“票贩子”，借助系统的漏洞，进行重复刷票，与用户签订协议刷到指定的名次就可以获取一定的收益。通过不停变化ip地址投票请求进行多次重放，由于所发的数据包为合法请求，多数安全设备可能不会给予拦截，但是却对服务器带来很大压力，造成服务器cpu、内存被一些非法连接占满，最终直接导致服务器卡死，系统无法正常给与响应，间接造成ddos攻击，解决这个问题最好的办法还是通过云waf、cdn等安全设备进行防护，通过前端的安全设备进行部分流量筛查之后在转发到服务器上进行流量转发，从而减轻应用服务器的自身压力，防护过程如下图（图片源于互联网），有硬件防护固然是好，那么在没有安全设备的防护情况下，我们如何利用现在的条件去做临时性防护呢，接下来讨论几个软防护方法。

二、常见防护方法

2.1中间件屏蔽关键字

2.1.1ngix中间件

如果应用程序采用了ngix的中间件，那可以通过修改ngix的配置文件去屏蔽到指定关键字，比如任意选取ngix日志中一条记录进行分析，红框标记的字段内容依次如下：

$remote_addr：与$http_x_forwarded_for用以记录客户端的ip地址；$remote_user：用来记录客户端用户名称；$time_local：用来记录访问时间与时区；$request：用来记录请求的http的方式与url；$request_time：用来记录请求时间；$status：用来记录请求状态；成功是200，$body_bytes_sent：记录发送给客户端文件主体内容大小；$http_referer：用来记录从那个页面链接访问过来的；$http_user_agent：记录客户端浏览器的相关信息。

可通过星图来查看日志分析情况，筛选出访问量比较大的ip

利用

catc740.log|awk-F\{A[$(NF-1)]++}END{for(kinA)printA[k],k}|sort-n

查看useragent的访问情况，由于的日志数量较为庞大，可通过tail-n选取部分数据进行分析，在本次的日志分析中，可发现同一条agent出现511922次，肯定为非正常请求，可将其加入ngix的配置中

限制某useragent访问可利用如下脚本

if($http_user_agent~Build/JZO54K){

return403;}

禁止非GET|HEAD|POST方式的抓取

if($request_method!~^(GET|HEAD|POST)$){

return403;

}

限制http_referer访问

if($http_referer~*){return403;

防止特定IP的请求

if($remote_addr=“IP地址“){return500;

}

也可以自己编写python脚本进行筛选，通过执行系统命令，筛选出连接请求大于80次的ip地址，并进行归属地判断，将结果保存在表格中，如下图

利用pyrhon脚本对日志进行处理，并统计访问ip地址、访问请求、useragent内容，存入表格中，统计结果依次如下

可根据日志分析的情况将，相关字段加到ngix配置的黑名单中。

2.2bash脚本防护

查看连接数量，将连接数量大于15的地址，加入到ngix配置文档

#!/bin/bash

foriin`/usr/bin/netstat-anptu|awk{print$5}|awk-F:{print$1}|sort|uniq-c|awk{if($1=15){print}}|awk{print$2}`

do

echo$i|perl-neexit1unless/\b(?:(?:(?:[01]?\d{1,2}|2[0-4]\d|25[0-5])\.){3}(?:[01]?\d{1,2}|2[0-4]\d|25[0-5]))\b/if[[$?-eq0]];then

echo$i|grep-w/dev/nullif[[$?-ne0]];then

sed-i53adeny$i;/etc/nginx/nginx.conf

echoip$i加入到黑名