脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → Nginx解决Http慢攻击

Nginx解决Http慢攻击(Slow HTTP Attack)的方法

 更新时间:2024年02月28日 11:48:46   作者:MchBeg  
缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,本文给大家介绍了Nginx解决Http慢攻击(Slow HTTP Attack)的方法,需要的朋友可以参考下

什么是慢速连接攻击

缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。(瘫痪目标服务器

慢速连接攻击类型

慢速连接攻击主要有如下几种:

1.Slow headers攻击

攻击者向服务器发起HTTP请求,而且不停地发送HTTP头部。服务器为需要接收完所有HTTP头部,才能处理请求。由于HTTP头部不停地被攻击者发送,服务器永远也无法接收完,服务器的web容器很快就会被攻击者占满了TCP连接,而不再接收新的请求,最终拒绝服务。

2.Slow body攻击

攻击者向目标服务器发送POST请求,服务器以为要接收大量数据,一直保持连接状态,但攻击者却以10S-100s一个字节的速度去发送数据,类似的连接被不断增加后,服务器资源被大量消耗,最终达到极限拒绝服务。

3.Slow read攻击

攻击者与服务器建立连接后,会发送完整的请求给服务器,一直保持连接状态,然后以极低的速度读取Response,或者让服务器觉得客户端很忙,消耗服务器的连接和内存资源。

防护手段

真对http慢速攻击的特点,防护时可对每秒钟http并发连接数进行检查。

当每秒种http并发连接数超过设定值时,会触发http报文检查,检查出一下任意一种情况,都认定受到http慢速连接攻击。

1.连续多个httppost报文的总长度都很大,但是其http载荷长度都很小。

2.连续多个httpget/post报文的报文头都没有结束标识。

将该源ip判定为攻击源加入黑名单,同时断开此ip地址与http服务器的连接。

对web服务器的http头部传输的最大许可时间进行限制,修改成最大许可时间为20秒。

统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中,HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击。

过多可能是使用HTTP 1.1协议进行deHTTP Flood攻击,在一个TCP连接中发送多个HTTP请求。


周期内统计报文数量。一个TCP连接,HTTP请求的报文中,报文过多或者报文过少都是有问题的,如果一个周期内报文数量非常少,那么它就可能是慢速攻击;如果一个周期内报文数量非常多,那么它就可能是一个CC攻击。
 
限制HTTP请求头的最大许可时间。超过最大许可时间,如果数据还没有传输完成,那么它就有可能是一个慢速攻击。
 

Nginx

1、通过调整$request_method,配置服务器接受http包的操作限制;

2、在保证业务不受影响的前提下,调整client_max_body_size, client_body_buffer_size, client_header_buffer_size,large_client_header_buffersclient_body_timeout, client_header_timeout的值,必要时可以适当的增加;

3、对于会话或者相同的ip地址,可以使用HttpLimitReqModule and HttpLimitZoneModule参数去限制请求量或者并发连接数;

4、根据CPU和负载的大小,来配置worker_processes 和 worker_connections的值,公式是:max_clients = worker_processes * worker_connections。

具体配置

user  deployer;
user root;
worker_processes  16;
 
#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
 
#pid        logs/nginx.pid;
events {
    worker_connections  1024;
}
 
http {
 
    limit_req_zone $binary_remote_addr zone=req_one:10m rate=10r/s;
    limit_conn_zone $binary_remote_addr zone=limit_conn:10m;
 
    include       mime.types;
    default_type  application/octet-stream;
 
    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';
    #access_log  logs/access.log  main;
    sendfile        on;
    #tcp_nopush     on;
 
    #keepalive_timeout  0;
    keepalive_timeout  65;
    client_max_body_size 2m;
    client_body_buffer_size 2m;
    client_header_buffer_size 2k;
    large_client_header_buffers 2 1k;
    client_body_timeout 10s;
    client_header_timeout 5s;
 
 
    #gzip  on;
 
    server {
        listen       10056;
        server_name  localhost;
 
        #charset koi8-r;
 
        #access_log  logs/host.access.log  main;
 
        location / {
            limit_conn limit_conn 10;
            proxy_redirect off;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass http://172.17.0.1:10050;
 
        }
 
        #error_page  404              /404.html;
        # redirect server error pages to the static page /50x.html
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
 
}

以上就是Nginx解决Http慢攻击(Slow HTTP Attack)的方法的详细内容,更多关于Nginx解决Http慢攻击的资料请关注脚本之家其它相关文章!

您可能感兴趣的文章:

相关文章

  • nginx基于IP的多虚拟主机实现

    nginx基于IP的多虚拟主机实现

    如果同一台服务器有多个IP,可以使用基于IP的虚机主机配置,将不同的服务绑定在不同的IP上,本文主要介绍了nginx基于IP的多虚拟主机实现,具有一定的参考价值,感兴趣的可以了解一下
    2024-01-01
  • nginx+lua+redis实现降级的示例代码

    nginx+lua+redis实现降级的示例代码

    随着用户访问量的激增,网站或电商平台可能会面临系统超负载的问题,导致注册、下单、支付等功能出现问题,为保障核心服务的高可用性,可以采用降级策略,本文就来介绍一下nginx+lua+redis降级,感兴趣的可以了解学习
    2024-10-10
  • 解决nginx启动失败(bind() to 0.0.0.0:80 failed,An attempt was made to access a socket in...)

    解决nginx启动失败(bind() to 0.0.0.0:80 failed,An attempt was 

    这篇文章主要介绍了解决nginx启动失败问题(bind() to 0.0.0.0:80 failed,An attempt was made to access a socket in ...),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-05-05
  • Nginx禁止指定UA访问的方法

    Nginx禁止指定UA访问的方法

    这篇文章主要介绍了Nginx禁止指定UA访问的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-03-03
  • Nginx服务器中location配置的一些基本要点解析

    Nginx服务器中location配置的一些基本要点解析

    这篇文章主要介绍了Nginx服务器中location配置的一些基本要点解析,特别对管理以及查找匹配作出了详细的讲解,需要的朋友可以参考下
    2015-12-12
  • Ubuntu 22.04.1 LTS 编译安装 nginx-1.22.1的配置过程

    Ubuntu 22.04.1 LTS 编译安装 nginx-1.22.1的配置过程

    Ubuntu安装Nginx有两种方式,一种是通过命令的方式,这种方式安装的Nginx版本低,之前漏扫扫出来Nginx版本低,需要升级所以现在用编译的方式安装版本高点的,本文介绍Ubuntu22.04.1 LTS编译安装nginx1.22.1的配置过程,本文给大家介绍的非常详细,需要的朋友参考下吧
    2024-01-01
  • Nginx超时时间的配置说明

    Nginx超时时间的配置说明

    Nginx超时时间非常重要,因为它将直接影响网站的响应速度和用户体验,本文主要介绍了Nginx超时时间的配置说明,具有一定的参考价值,感兴趣的可以了解一下
    2024-07-07
  • Nginx对网段内ip的连接数限流配置详解

    Nginx对网段内ip的连接数限流配置详解

    这篇文章主要介绍了Nginx对网段内ip的连接数限流配置详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-03-03
  • Nginx基于漏桶算法配置限流详解

    Nginx基于漏桶算法配置限流详解

    这篇文章主要为大家介绍了Nginx基于漏桶算法配置限流详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-10-10
  • nginx 反向代理负载均衡策略配置SSL访问匹配规则优先级

    nginx 反向代理负载均衡策略配置SSL访问匹配规则优先级

    本文主要包含1.Nginx配置文件详解2.Nginx实现负载均衡3.Nginx前端项目部署4.Nginx配置SSL访问5.nginx匹配规则说明以及匹配的优先级的内容详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-06-06

最新评论