【已解答】nginx防火墙如何杜绝这种访问

访问里全是这种访问，1秒上万次，已开了nginx防火墙的，可怎么没防止住呢？

又应该如何阻止呢？

您好，建议您先升级防火墙到最新版本，然后开启非浏览器访问看下能否拦截到

大炮运维V587 发表于 2021-5-29 14:14
您好，建议您先升级防火墙到最新版本，然后开启非浏览器访问看下能否拦截到

...

不是说开启非浏览器访问会影响到微信内打开的嘛？
这种一秒几千次的访问，又非蜘蛛类型的，防火墙的CC防御和恶意容忍度就应该能防御了才对的啊？

宝塔用户_fxsxyv 发表于 2021-5-29 17:30
不是说开启非浏览器访问会影响到微信内打开的嘛？
这种一秒几千次的访问，又非蜘蛛类型的，防火墙的CC防 ...

那根据ua进行封堵也不行啊，你把封锁时间改成 86400，只能封一波了。

大炮运维V587 发表于 2021-5-29 18:00
那根据ua进行封堵也不行啊，你把封锁时间改成 86400，只能封一波了。

我指的是这里，为什么防御不生效？
还是说这种访问因为不是恶意，所以不生效？
那么，像这种访问又应该如何防御呢？

大炮运维V587 发表于 2021-5-29 18:00
那根据ua进行封堵也不行啊，你把封锁时间改成 86400，只能封一波了。

觉得防火墙少了一个功能，应该把这个同一url 去掉，
改成
60秒内累计请求超过120次

宝塔用户_fxsxyv 发表于 2021-5-30 07:57
我指的是这里，为什么防御不生效？
还是说这种访问因为不是恶意，所以不生效？
那么，像这种访问又应该 ...

达不到频率是不会触发这个规则的

宝塔用户_fxsxyv 发表于 2021-5-30 08:02
觉得防火墙少了一个功能，应该把这个同一url 去掉，
改成
60秒内累计请求超过120次

这个考虑过，误伤太大，如果你的url要加载很多资源，那岂不是刷新两三次就匹配到了？

大炮运维V587 发表于 2021-5-30 11:36
这个考虑过，误伤太大，如果你的url要加载很多资源，那岂不是刷新两三次就匹配到了？ ...

那就回到标题了，像图片所示的这种很明显的恶意访问，nginx防火墙该如何防御？

宝塔用户_fxsxyv 发表于 2021-5-31 14:49
那就回到标题了，像图片所示的这种很明显的恶意访问，nginx防火墙该如何防御？ ...

开防火墙，频率和封锁时间找个合适的点，既不会封锁正常访问，也不放过恶意访问，这个频率不是固定值，但是你可以根据你的网站访问日志可以大概算出来

1. awk '{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}' 网站日志名| sort -t " " -k 1 -n -r |head -10

复制代码

这个可以计算出访问你网站前十的IP地址，如果是固定的 ip的话，可以到服务器运营商给的安全组中进行拉黑，在网络入口封堵

重点在这了。
1、根据UA看，单次来说，这是正常访问，于是nginx防火墙无法判断是否是恶意访问。那么防火墙里的“恶意容忍度”功能就用不上了。
2、访问的不是同一URL，那么防火墙里的“CC防御”这个功能又用不上了。
3、IP并不是固定的，无法固定屏蔽IP。
4、1秒内几千次的这种访问，肯定是恶意攻击类型的了。
这种其实就是一些垃圾爬虫爬数据来的。
可该如何利用nginx防火墙进行防御？

大炮运维V587 发表于 2021-5-31 19:39
这个可以计算出访问你网站前十的IP地址，如果是固定的 ip的话，可以到服务器运营商给的安全组中进行拉黑， ...

重点在这了。
1、根据UA看，单次来说，这是正常访问，于是nginx防火墙无法判断是否是恶意访问。那么防火墙里的“恶意容忍度”功能就用不上了。
2、访问的不是同一URL，那么防火墙里的“CC防御”这个功能又用不上了。
3、IP并不是固定的，无法固定屏蔽IP。
4、1秒内几千次的这种访问，肯定是恶意攻击类型的了。
这种其实就是一些垃圾爬虫爬数据来的。
可该如何利用nginx防火墙进行防御？

个人觉得，很有必要在CC防御这个功能里增加：同一IPXX秒内累计请求XX次，触发CC防御，屏蔽XXX秒

宝塔用户_fxsxyv 发表于 2021-6-1 15:26
重点在这了。
1、根据UA看，单次来说，这是正常访问，于是nginx防火墙无法判断是否是恶意访问。那么防 ...

明天我让同事联系你