Nginx解决Http慢攻击(Slow HTTP Attack)的方法
什么是慢速连接攻击
缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。(瘫痪目标服务器)
慢速连接攻击类型
慢速连接攻击主要有如下几种:
1.Slow headers攻击
攻击者向服务器发起HTTP请求,而且不停地发送HTTP头部。服务器为需要接收完所有HTTP头部,才能处理请求。由于HTTP头部不停地被攻击者发送,服务器永远也无法接收完,服务器的web容器很快就会被攻击者占满了TCP连接,而不再接收新的请求,最终拒绝服务。
2.Slow body攻击
攻击者向目标服务器发送POST请求,服务器以为要接收大量数据,一直保持连接状态,但攻击者却以10S-100s一个字节的速度去发送数据,类似的连接被不断增加后,服务器资源被大量消耗,最终达到极限拒绝服务。
3.Slow read攻击
攻击者与服务器建立连接后,会发送完整的请求给服务器,一直保持连接状态,然后以极低的速度读取Response,或者让服务器觉得客户端很忙,消耗服务器的连接和内存资源。
防护手段
真对http慢速攻击的特点,防护时可对每秒钟http并发连接数进行检查。
当每秒种http并发连接数超过设定值时,会触发http报文检查,检查出一下任意一种情况,都认定受到http慢速连接攻击。
1.连续多个httppost报文的总长度都很大,但是其http载荷长度都很小。
2.连续多个httpget/post报文的报文头都没有结束标识。
将该源ip判定为攻击源加入黑名单,同时断开此ip地址与http服务器的连接。
对web服务器的http头部传输的最大许可时间进行限制,修改成最大许可时间为20秒。
统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中,HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击。
过多可能是使用HTTP 1.1协议进行deHTTP Flood攻击,在一个TCP连接中发送多个HTTP请求。
周期内统计报文数量。一个TCP连接,HTTP请求的报文中,报文过多或者报文过少都是有问题的,如果一个周期内报文数量非常少,那么它就可能是慢速攻击;如果一个周期内报文数量非常多,那么它就可能是一个CC攻击。
限制HTTP请求头的最大许可时间。超过最大许可时间,如果数据还没有传输完成,那么它就有可能是一个慢速攻击。
Nginx
1、通过调整$request_method,配置服务器接受http包的操作限制;
2、在保证业务不受影响的前提下,调整client_max_body_size, client_body_buffer_size, client_header_buffer_size,large_client_header_buffersclient_body_timeout, client_header_timeout的值,必要时可以适当的增加;
3、对于会话或者相同的ip地址,可以使用HttpLimitReqModule and HttpLimitZoneModule参数去限制请求量或者并发连接数;
4、根据CPU和负载的大小,来配置worker_processes 和 worker_connections的值,公式是:max_clients = worker_processes * worker_connections。
具体配置
user deployer;
user root;
worker_processes 16;
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
events {
worker_connections 1024;
}
http {
limit_req_zone $binary_remote_addr zone=req_one:10m rate=10r/s;
limit_conn_zone $binary_remote_addr zone=limit_conn:10m;
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
client_max_body_size 2m;
client_body_buffer_size 2m;
client_header_buffer_size 2k;
large_client_header_buffers 2 1k;
client_body_timeout 10s;
client_header_timeout 5s;
#gzip on;
server {
listen 10056;
server_name localhost;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
limit_conn limit_conn 10;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://172.17.0.1:10050;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
以上就是Nginx解决Http慢攻击(Slow HTTP Attack)的方法的详细内容,更多关于Nginx解决Http慢攻击的资料请关注脚本之家其它相关文章!
相关文章
这篇文章主要介绍了Nginx性能优化,Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务,需要的朋友可以参考下2023-04-04
这篇文章主要介绍了nginx 反向代理之 proxy_pass的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-11-11
这篇文章主要介绍了Nginx已编译的nginx-添加新模块,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-09-09
本文主要介绍了nginx配置多个前端项目实现步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-03-03
看了很多Nginx的配置,好像都忽略了ip直接访问Web的问题,这样理论上不利于SEO优化,所以我们希望可以避免直接用IP访问网站,而是域名访问,具体怎么做呢,看下面2012-09-09
这篇文章主要介绍了Nginx实现根据域名http、https分发配置示例,本文同时介绍了openssl证书生成方法,需要的朋友可以参考下2014-10-10
这篇文章主要介绍了对Nginx支持SSL的性能进行优化的方法,作者分别以不同方法进行了8个优化实验,需要的朋友可以参考下2015-06-06
深入理解Nginx中Server和Location的匹配逻辑
这篇文章主要介绍了深入理解Nginx中Server和Location的匹配逻辑,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2019-03-03
这篇文章主要介绍了nginx命令参数用法详细介绍的相关资料,希望通过本文可以帮助到大家理解并应用这部分知识,需要的朋友可以参考下2017-08-08
这篇文章主要介绍了Nginx配合php实现生成实时缩略图功能,这在一些特殊场合可能会要用到,需要的朋友可以参考下2014-10-10
最新评论