NGINX根据客户端真实ip限制/referer限制

最近后端服务被攻击,所有接口被疯狂调用,记录一次nginx应对攻击的方案,包括黑白名单、referer限定等。

一、NGINX根据用户真实IP限源
1、nginx日志打印
在nginx.conf配置文件中的http模块打印

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
2、NGINX根据用户真实IP限源
同样在http模块中,将客户端真实ip记录在X-Forwarded-For中

#配置使deny可以根据客户端真实ip禁用
real_ip_header X-Forwarded-For;
set_real_ip_from 0.0.0.0/0;
real_ip_recursive on;
ngx_http_realip_module 模块有如下三个指令;

①:set_real_ip_from

该指令用于设置授信 IP,即请求过来时由某个头字段携带的 IP 中 nginx 自己认为可信的 IP,该头字段由 real_ip_header 指令指定;
该指令值一般是前几层代理的 IP ;


②:real_ip_header

该指令用于告知 nginx 从每个客户端请求中的哪个头字段来获取客户端真实的 IP;
该指令默认值是 X-Real-IP,不过现在主流的都是通过 X-Forwarded-For 字段来获取客户端真实 IP,X-Forwarded-For 目前已经是主流运用的字段了;
我们也可以在 nginx 配置时自定义一个新的字段;


③:real_ip_recursive

nginx 从 real_ip_header 指令指定的头字段中获取 IP,可能会有多个 IP 值;

当 real_ip_recursive 指令值为 off,nginx 从获取到 IP 值中从右往左(也即从后往前)的顺序,以最后一个 IP 值作为客户端的真实 IP ,此时不会排除授信 IP;
当 real_ip_recursive 指令值为 on,nginx 从获取到 IP 值中从右往左(也即从后往前)的顺序,排除 set_real_ip_from 指令指定的授信 IP,以最后一个非授信 IP 值作为客户端的真实 IP ;


3、NGINX的黑白名单deny/allow
经过slb的请求默认会将真实ip放在$http_x_forwarded_for中,根据日志中打印出的攻击ip进行禁用,同样在http模块中。

#禁用某个ip
deny 123.123.123.123;
#禁用某个ip段
deny 123.123.123.0/24;
#禁用全部ip
deny all;
Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。

语法
1、allow 指令
允许哪些 IP 访问,all 表示允许所有;
2、deny 指令
禁止哪些 IP 访问,all 表示禁止所有;
作用域 http / server / location / limit_except ;

二、nginx根据referer限制
根据nginx日志中打印的$http_referer来进行限制

1、Nginx Referer模块
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求。当一个请求头的Referer字段中包含一些非正确的字段,这个模块可以禁止这个请求访问站点。构造Referer的请求很容易实现,所以使用这个模块并不能100%的阻止这些请求。

2、valid_referers 指令
语法: valid_referers none | blocked | server_names | string … ;

配置段: server, location

指定合法的来源'referer', 他决定了内置变量$invalid_referer的值,如果referer头部包含在这个合法网址里面,这个变量被设置为0,否则设置为1. 需要注意的是:这里并不区分大小写的.

参数说明:

none:请求头缺少Referer字段,即空Referer
blocked:请求头Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开头,通俗点说就是允许“http://”或"https//"以外的请求。
server_names:Referer请求头白名单。
arbitrary string:任意字符串,定义服务器名称或可选的URI前缀,主机名可以使用*号开头或结尾,Referer字段中的服务器端口将被忽略掉。
regular expression:正则表达式,以“~”开头,在“http://”或"https://"之后的文本匹配。

e.g.


server {
......
#配置合法referers,其余拦截
#微信小程序域名:servicewechat.com 浙里办域名:mapi.zjzwfw.gov.cn
valid_referers blocked servicewechat.com mapi.zjzwfw.gov.cn Apifox;
if ($invalid_referer) {
return 403 ;
}
......
}
上面配置合法的Referer为 servicewechat.com / mapi.zjzwfw.gov.cn / Apifox 和 无Referer(浏览器直接访问,就是没有Referer的) ; 其他非法Referer请求过来时, $invalid_referer 值为1 , 就return 403。
————————————————
版权声明:本文为CSDN博主「Thomas灬Wade」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/jnloverll/article/details/128103837

posted @ 2023-04-21 12:08  GaoYanbing  阅读(1072)  评论(0编辑  收藏  举报