先大概說說簡單的結(jié)構(gòu)…前端一個(gè)Nginx反向代理，后端一個(gè)Nginx instance app for PHP…實(shí)際上就是個(gè)Discuz，之前面對(duì)CC攻擊都是預(yù)警腳本或者走CDN，但是這次攻擊者不再打流量，而是針對(duì)數(shù)據(jù)庫請(qǐng)求頁面進(jìn)行攻擊，如search操作…帖子ID F5等..從日志分析來看是從3個(gè)URL著手攻擊的，當(dāng)時(shí)使用Nginx 匹配$query_string 來return 503…不過會(huì)導(dǎo)致頁面不能訪問，所以想到這么一個(gè)折中的辦法。

首先你看一段代理請(qǐng)求的NGINX日志:

##通過分析，在后端發(fā)現(xiàn)其代理訪問過來的數(shù)據(jù)都是兩個(gè)IP的，默認(rèn)情況下直接訪問獲取真實(shí)IP，其IP只有一個(gè)，而通過手機(jī) 3G4G上網(wǎng)則是2個(gè)IP，不過有匿名IP的話，到服務(wù)器則只有一個(gè)IP，這種就不太好判斷了...
[root@ipython conf]# tail -f /var/log/nginx/logs/access.log  | grep ahtax
120.193.47.34 - - [26/Sep/2014:23:34:44 +0800] "GET /ahtax/index.html HTTP/1.0" 503 1290 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36" "10.129.1.254, 120.193.47.34"

使用PHP分析下訪問時(shí)的_SERVER變量

[root@ipython conf]# cat /%path%/self_.php
<?php

if ($_SERVER["HTTP_X_FORWARDED_FOR"]!="")
{
 $user_ip=$_SERVER["HTTP_X_FORWARDED_FOR"];
}elseif($_SERVER["HTTP_X_REAL_IP"]!=""){
 $user_ip=$_SERVER["HTTP_X_REAL_IP"];
}else{
 $user_ip=$_SERVER["REMOTE_ADDR"];
}

echo $user_ip."<br />";

 foreach($_SERVER as $key=>$value)
 echo $key."	"."$value"."<br />";

?>

通過瀏覽器訪問確認(rèn)相關(guān)參數(shù)

有了這個(gè)特征就很好判斷了….

首先需要有一個(gè)正則來匹配日志里的兩個(gè)IP,Nginx正則依賴pcre庫...
[root@ipython conf]# pcretest 
PCRE version 7.8 2008-09-05

  re> '^d+.d+.d+.d+Wsd+.d+.d+.d+$'
data> 192.168.1.1, 1.1.1.1
 0: 192.168.1.1, 1.1.1.1

Nginx配置文件在location $dir 中加入條件來匹配http_x_forwarded_for:
#proxy
if ($http_x_forwarded_for ~ '^d+.d+.d+.d+Wsd+.d+.d+.d+$'){
    return 503;
}

重載配置后就可以限制使用代理IP來訪問的網(wǎng)站用戶了

? 轉(zhuǎn)載保留版權(quán)：IT辰逸?《配置Nginx 拒絕代理訪問》
? 本文鏈接地址：http://www.ipython.me/centos/nginx-reject-proxy-access.html
? 本文版權(quán)采取：BY-NC-SA協(xié)議進(jìn)行授權(quán)，轉(zhuǎn)載注明出處。除IT-Tools、News以及特別標(biāo)注，本站所有文章均為原創(chuàng)。
? 如果喜歡可以：點(diǎn)此訂閱本站

總結(jié)

以上是生活随笔為你收集整理的Nginx 防CC攻击拒绝代理访问的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。