【Nginx】Nginx配置加固之阻止恶意域名访问

最新推荐文章于 2025-07-31 17:04:06 发布
原创 最新推荐文章于 2025-07-31 17:04:06 发布 · 4.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx

文章讲述了大型网站如何处理恶意域名绑定其公网IP的问题。通过Nginx的配置,可以实现对恶意域名返回403Forbidden或重定向至正确域名,以此保护网站并提供用户体验。

【问题背景】

        一般一个大型的互联网站点都会有一个域名(比如:www.aaa.com、www.bbb.com.cn),这个域名在申请的时候,必须向工信部备案。此外,这个域名会绑定一个或者多个公网IP(国内一般需要向三大运营商购买)。这个公网IP一般用的是80端口,并且公网的IP和80端口,会映射到内网的一个IP地址(负载的IP+端口),然后负载后面会挂N个内网应用服务器的地址。这样公网的用户就可以通过这个域名来访问内网的应用了。

比如,我们日常使用的微软的搜索引擎(cn.bing.com),它就有一个公网的IP,我们可以通过ping域名来获取这个公网IP(204.79.197.200)。如下图所示:

联网查询,就可以知道上面这个IP所在的位置:美国 华盛顿 雷德蒙德

        现在有恶意用户,会通过一些手段,申请一个恶意(伪)域名,然后和其他网站的公网IP绑定(具体如何绑定,这里就不再探讨了)映射关系,这样用户就可以通过这个恶意(伪)域名来访问一个正规的网站了。

【解决方案】

        遇到这种问题时,就需要在做一些反制和加固措施,比如向相关部门投诉恶意(伪)域名,目标是让恶意域名解除和自己网站公网IP的绑定关系,下线恶意(伪)域名。如果这个方案比较麻烦,甚至恶意域名注册地在国外,那就只能在自己的系统后台进行加固来反制了。

        这里以Nginx为例,Nginx在全球网站中的使用比例还是相当高的,其主要的功能就是为后端的应用服务提供反向代理和负载均衡的功能。如现在Nginx上代理了一个域名为www.cnskylee.com的网站,其server{}块的配置如下:

    server {
        listen       80;
        server_name  www.cnskylee.com cnskylee.com;
        
        。。。此处省略一万行。。。
    }

 我们在Windows系统的hosts文件中分别配置正确域名和伪域名和服务器IP的映射关系


# 正确的域名
192.168.223.199 www.cnskylee.com cnskylee.com

# 伪造的域名
192.168.223.199 www.forge-site.com

 这个时候,我们可以发现,上面的三个域名都可以访问到nginx的欢迎页面了

 要解决这个问题有两种方法,一种很暴力,直接返回403给访问这个伪域名的用户。另外一种,就是使用Nginx的rewrite功能,将用户访问伪域名重定向到正确的域名。

我们先来测试第一种,在nginx.conf文件中增加下面的server{}块配置,注意:不是在原有的80端口的server{}块中修改配置!

    server {
        listen       80 default_server;
        server_name  _;
        return       403;
    }

 然后校验配置、reload。再次用伪造的域名访问测试,发现页面返回403,禁止访问!

第二种配置不好贴图,所以这里就不做测试了,感兴趣的可以自己测试。同样是新增一个server{}块,然后校验配置、reload配置。

    server {
        listen       80 default_server;
        server_name  _;
        rewrite ^(.*) http://www.cnskylee.com/$1 permanent;
    }

 这时候我们再使用伪造的域名访问,发现浏览器中的域名会变成www.cnskylee.com这个正确的域名,并且用户无法通过浏览器的返回键,返回到之前那个伪域名。

相比两种方案,第二种对用户可能更加的友好,而第一种略显粗暴,哈哈哈~~~

nginx设置只允许从指定域名访问
Bertram的博客
08-25 3329
nginx设置只允许从指定域名进行访问
Nginx与服务器安全:加固措施
java专栏
09-04 2179
大家好,我是你们的小助手,今天咱们要探讨的主题是如何给 Nginx 服务器进行安全加固。这可是一项非常重要的任务,因为一旦服务器被黑客攻破,后果不堪设想。所以,咱们得从头到脚,全方位地给服务器打上补丁,让它变得坚不可摧!首先,我们得搞清楚什么是服务器安全。简单来说,服务器安全就是采取各种技术和策略来保护服务器不受攻击、入侵和其他安全威胁。对于 Nginx 服务器来说,安全加固尤为重要,因为它通常位于网络的前端,是黑客们首要攻击的目标。怎么样,是不是觉得 Nginx 服务器安全加固其实也没有那么难呢?
Nginx设置禁止通过IP访问服务器并且只能通过指定域名访问
益力多的专栏
06-13 2618
为了避免别人把未备案的域名解析到自己的服务器IP而导致服务器被断网,需要在nginx上设置禁止通过IP访问服务器,只能通过域名访问。 最关键的一点是,在server的设置里面添加这么一行: listen 80 default; 后面的default参数表示这个是默认的虚拟主机。 例如:别人如果通过ip或者未知域名访问你的网站的时候,你希望禁止显示任何有效内容,可以给他返回5
懂王一定懂nginx系列(二):nginx封禁恶意请求,没有人比我更懂
404烫烫烫烫的博客
08-10 1187
标题纯属开玩笑哈,不要介意,更多nginx内容请访问从今天开始种树 前言 恶意请求实属烦人,几分钟都能请求几百次,对于小站而言无疑增加了大量负担,辛辛苦苦原创的内容,几分钟被这些恶意请求白嫖个干干净净,泪目。所以针对性的搜集实验了一些方法来尽可能避免这些恶意请求的访问,希望能帮助各位需要的懂懂们。 直接开整 封禁一些特有请求头 作为一个爬虫小手,对毫不限制的请求次数是深恶痛绝,而且大部分人应对基本反爬还会伪造个请求头什么的,但是下面这个ip真是把流氓精神体现得淋漓尽致。 它的访问次数没有截全,一秒钟大.
Nginx常用的安全屏蔽规则
qq787387207的博客
03-13 1208
Nginx 是一个高性能的 HTTP 和反向代理服务,目前很大一部分网站均使用了 Nginx 作为 WEB 服务器,Nginx 虽然非常强大,但默认情况下并不能阻挡恶意访问,整理了一份常用的 Nginx 的屏蔽规则,希望对各位站长有所帮助。在开始之前,请备份你的 Nginx 配置,修改完毕后需要重载一次 Nginx 的,否则不会生效。
Nginx禁止域名访问
山不见我,我自见山
10-26 1875
Nginx是一种高性能、开源的Web服务器软件,可以通过HTTP或HTTPS协议提供网页服务。它也可以用作反向代理服务器、负载均衡器和HTTP缓存,从而提高Web应用程序的性能。Nginx由Igor Sysoev在2004年开发,以其可扩展性、稳定性和低内存占用而闻名。它被广泛用于许多知名的网站,如Netflix、Github和Pinterest等。Nginx的特点包括使用简单、高性能、低资源消耗、高可靠性和丰富的模块化支持。
Nginx 禁止非法域名访问限制域名访问
热门推荐
Free-Thinking
06-13 1万+
今天发现www.bingm.com 这个鸟域名指到我们公司的服务器,立刻修改nginx.conf配置文件 在 server 里头添加 以下代码即可 多个server要多处添加 if ($host !~ ^www/.duk/.cn$){                rewrite ^(.*)  http://www.duk.cn$1 permanent;        }
Nginx 安全加固指南:提升网站防护的 7 大必备 HTTP 头部配置
最新发布
Bertram的博客
07-31 271
本文介绍了增强Nginx安全性的关键HTTP响应头配置方法,包括HSTS强制HTTPS、X-Frame-Options防点击劫持、X-XSS-Protection防跨站脚本、X-Content-Type-Options防MIME嗅探、CSP内容安全策略、Cache-Control缓存控制以及CORS跨域资源共享。通过合理配置这些安全头部,能有效防止中间人攻击、点击劫持、XSS攻击等常见网络威胁,提高网站安全性。文章提供了完整的Nginx配置示例,帮助管理员快速实现这些安全措施。
Nginx等保2.0策略配置
Anwen的博客
03-21 1169
Nginx 等保2.0 安全加固
后端领域 Nginx 服务器的安全加固实践
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-02 1058
在当今数字化的时代,后端服务器面临着各种各样的安全威胁,如 DDoS 攻击、恶意访问、数据泄露等。Nginx 作为一款广泛使用的高性能 Web 服务器、反向代理服务器及电子邮件(IMAP/POP3)代理服务器,其安全性能直接关系到整个后端系统的稳定性和数据安全性。本文的目的在于深入探讨 Nginx 服务器的安全加固实践,涵盖从基础配置到高级防护的各个方面,旨在为读者提供一套全面、实用的安全加固方案,以应对日益复杂的网络安全挑战。
Nginx访问限制与安全加固:防范恶意攻击手段
# 1. 简介 ## 1.1 Nginx的作用及特点 Nginx(发音为“engine x”)是一个高性能的开源Web服务器和反向代理服务器,也可以用作负载...- 高度可配置Nginx提供了丰富的配置选项,可以根据不同的需求进行灵活的配置
nginx配置拦截访问域名
sunsijia21983的博客
08-11 3243
blocked:请求头Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开头,通俗点说就是允许“http://”或"https//"以外的请求。指定合法的来源'referer', 他决定了内置变量$invalid_referer的值,如果referer头部包含在这个合法网址里面,这个变量被设置为0,否则设置为1. 需要注意的是:这里并不区分大小写的.none:请求头缺少Referer字段,即空Referer。
nginx配置server下限制访问域名
flymore96的博客
08-08 2582
配置当前域名通过域名+端口方式,能够访问其它项目
nginx限制域名访问
做最好的自己
01-14 5033
背景:一个未备案的域名恶意解析到我司的服务器,导致服务器托管服务商认为我司故意不备案域名,服务商准备停掉我们的服务器的接入   解决思路: 1.通过防火墙限制域名访问 2.设置代理服务器,对于域名不是我司注册的一律限制访问          开始是希望通过防火墙去限制域名访问,这样开销应该是最小的,但仔细想发现防火墙应该是解决不了这个需求,因为域名解析是在域名服务商那做的,在通过...
Nginx如何限制来自某个域名访问
whj99154562的专栏
01-20 2142
Nginx运维中,难免发现来自某个域名的恶意请求,导致流量占满。此时赶紧排查nginx日志,找出其域名给予限制即可。
挺带劲!通过 Nginx 来实现封杀恶意访问
民工哥的博客
05-07 815
点击下方公众号「关注」和「星标」回复“1024”获取独家整理的学习资料!前言先来说说为啥要写这篇文章,之前小编看了下 nginx访问日志,发现每天有好多国外的 IP 地址来访问我的网站...
Nginx 配置阻止恶意域名/IP访问
游园拾忆
02-29 481
方法一 在nginx.conf文件中增加下面的server{}块配置 server { listen 80 default_server; server_name _; return 403; } 用伪造的域名/IP访问时,页面直接返回403,禁止访问。 方法二 在nginx.conf文件中增加下面的server{}块配置 ...
Nginx限制IP访问只允许特定域名访问
qq_52231508的博客
06-03 2802
【代码】Nginx限制IP访问只允许特定域名访问
nginx禁止非sever_name指定域名访问
z_qifa的博客
07-03 3785
禁止非sever_name指定域名访问,将其访问指向默认站点; 设置非server_name指定域名访问,将该访问重写到test.1comserver { listen 80 default; rewrite ^(.*) http://test1.com permanent;}server { listen 80 ; server_name test1.com;
NGINX安全加固全方位指南:强化配置与风险防范
本篇文档是关于Nginx系统的安全加固手册,适用于各事业部服务器负责人,旨在提供详细的操作指南以确保系统的安全性。以下是文档的主要内容概览: 1. **概述** - **适用范围**: 该手册适用于所有服务器负责人,他们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cnskylee

技术分享我是认真的,期待您打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值