nginx防御ab,webbench,jmeter攻击

最新推荐文章于 2025-07-09 11:28:52 发布
最新推荐文章于 2025-07-09 11:28:52 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: 软件测试技术 Linux/Unix操作系统 Web高性能服务器 网络安全
本文介绍了一种防御压力测试工具如ab、webbench和jmeter的方法,通过nginx配置拦截特定的User-Agent来阻止这些工具的请求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 类似于ab,webbench,jmeter等这种压力测试工具,也是一种攻击方式,通过制造大量的并发请求,耗尽服务器资源。

对于一般中小型网站,很可能一句 webbench -c 30000 -t 500 http://hostname/就能让服务器挂掉.

该如何防御?

原理是通过http_user_agent 来判断。

apache ab的http_user_agent 为ApacheBench

webbench的http_user_agent 为WebBench

我的机器的配置:国外VPS  单核1G内存

下面直接贴nginx配置


java/表示jmeter的user_agent

下面用apache 的ab测试一下


查看access日志


可以看到,所有apache ab生成的请求全部被挡掉了。

下面看看webbench的:


查看access日志


webbench的请求也被挡住了。

下面把webbench并发加大,看看负载


查看top:


一点压力也木有,load average最高的时候也就到0.2...

该博文转载自http://www.myhack58.com/Article/48/66/2014/50053.htm


渗透测试:通过Jmeter实现CSRF跨站请求伪造攻击
songqinxiaoming的博客
06-28 942
首先介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击攻击过程 生成cookie:用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; 获取cookie:攻击中构建一条恶意网站web2的链接,受害者打开恶意链接后,将把本地保存的cookie信息送到恶意网站web2; 伪造攻击:网站web2通过收到的用户A的cookie值,向
综合架构web服务之nginx详解
embelfe_segge的博客
03-07 1006
文章目录 nginx 服务配置详细介绍 关于作者 前言 一、nginx web 入门简介 1.1 什么是nginx 1.2 常见的网站服务 1.3 nginx 网站服务特点 1.4 网站页面访问原理 二、nginx 服务部署安装 2.1实验环境 2.2 YUM 安装 2.3 源码编译安装 2.4 nginx重要文件目录结构 2.5 虚拟主机介绍及配置 2.5.1利用nginx服务搭建一个网站(www) 2.5.2 location介绍、location 访问控制及 优雅404显示 2.
TCP/IP协议基础IP、TCP、UDP
最新发布
2301_79966421的博客
07-09 906
IP 协议(Internet Protocol,互联网协议)是 TCP/IP 协议族的核心协议之一,负责在互联网中实现数据包的路由和转发,是计算机之间跨网络通信的基础。以IP 协议的核心功能是定义数据在网络中的传输方式,具体包括:目前广泛使用的 IP 协议有两个版本,两者在地址格式、功能上有显著差异:IP 数据包由首部和数据两部分组成,首部包含控制信息,常见字段如下:IP 分片是指当 IP 数据包的大小超过传输路径中某个网络设备(如路由器)的最大传输单元(MTU)时,将数据包分割成多个较小片段进行传输的过程
nginx压力测试及防止恶意压力测试的方法
热门推荐
求人不如求己,思考才能进步!
07-18 3万+
nginx压力测试方法: #ab命令 #安装ab #Centos系统 yum install apr-util #Ubuntu系统 sudo apt-get install apache2-utils #ab命令的参数 -n //在测试会话中所执行的请求个数。默认为1 -c //一次产生的请求个数。默认为1 -t //测试所进行的最大秒数。默认值为50000 -p //包含了需要的POST的数据
Nginx攻击工具教程一 ngx_http_limit_conn_module
汪翰翔的Blog
04-17 7903
要限制用户的连接数可以通过Limit zone模块来达到目的,即限制同一用户IP地址的并发连接数。    该模块提供了两个命令limit_zone和limit_conn,其中limit_zone只能用在http区段,而limit_conn可以用在http, server, location区段。 示例配置    http { limit_zone one $binary_re
Nginx http_user_agent 防御 ab
weixin_30474613的博客
05-31 168
日志出现大量: xxxxxxxxxxxxx - - [04/Jul/2013:23:37:49 +0800] "GET /1000.html HTTP/1.0" 200 56471 "-" "ApacheBench/2.3" - xxxxxxxxxxxxx - - [04/Jul/2013:23:37:49 +0800] "GET /1000.html HTTP/1.0" 200 56471 ...
Webbench:高效网站压力测试工具解析
- 由于Webbench主要测试的是网络服务器的静态内容处理能力,因此,对于动态内容的测试能力有限,如果需要进行更复杂的测试,可能需要使用更加专业的工具,如ApacheBench (ab)、JMeter等。 - 在进行压力测试时,测试...
webbench-1.5:新一代Linux压力测试利器及使用攻略
在当今的互联网技术环境中,对网站或网络应用进行压力测试是保证其稳定性和性能的关键步骤。...在实际使用中,为了获得更全面的性能评估,可能需要结合其他工具(如Apache的ab命令、JMeter等)来获得更深入的分析数据。
测试服务器并发能力的工具webbench
salutlu的专栏
09-13 7641
Webbench是一个非常简单的压力测试工具,Webbench最多可以模拟3万个并发连接去测试网站的负载能力。  (1)Webbench安装  wget http : //www.phpddt.com/soft/linux/webbench-1.5.tar.gztar zxvf webbench - 1.5 . tar . gzcd webbench - 1.5makemake ins
apache与nginx防御webbench等工具攻击
RobertXin
09-04 338
webbench是一个普遍的压力测试工具 webbench -c 1000 -t 30 url  大量的并发,耗费服务器资源。导致打开url缓慢,甚至服务器down机。   通过access.log日志可看到: 首先,先诅咒攻击的人天天吃饱了没事干 其实:apache与nginx可以通过http_user_agent这个系统变量来做处理   apache添加rewrite规则...
渗透测试:通过Jmeter实现CSRF(Cross-site request forgery)跨站请求伪造攻击
qq19970496的博客
09-19 2986
首页介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击攻击过程如下: **生成cookie:**用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; **获取cookie:**攻击中构建一条恶意网站web2的链接,...
压力测试攻击 http_load
Terry - 专注外贸B2C
01-23 664
1. 下载地址:http://acme.com/software/http_load/ wget http://acme.com/software/http_load/http_load-14aug2014.tar.gz tar zxvf http://acme.com/software/http_load/ make make install 33.txt 里面写上地址:然后: ./htt
高并发下jmeter性能压测及性能提升解决方案(二)nginx反向代理负载均衡
xy294636185的博客
07-12 1546
单机容量问题: 随着并发量提高,单机cpu使用率增高,memory占用增加,网络带宽使用增加。 解决: 需要水平扩展,做nginx反向代理+负载均衡策略,把同一个域名代理到多个不同的application服务器上。就要把后端的tomcat服务器集群以一个统一的域名暴露出去。 如上图架构,就需要四台虚拟机来做水平扩展,一台用于nginx反向代理,一台用于mysql,两台用于jar。 注意设置数据库的远程访问权限: grant all privileges o...
nginx 限流
qq_47955559的博客
03-31 289
nginx 限流nginx 限流一、 Jmeter使用入门二、限制某一IP每秒访问次数三、限制某一IP瞬间并发量 nginx 限流 一、 Jmeter使用入门 Apache Jmeter是Apache组织开发的基于Java的压力测试工具。用于对软件做压力测试,它最初被设计用于 Web应用测试,但后来扩展到其他测试领域。它可以用于对静态的和动态的资源的性能进行测试。也可以用 于对服务器、网络或对象模拟繁重的负载来测试它们的强度或分析不同压力类型下的整体性能。你还可以使 用它做性能的图形分析或在大并发下负载测
jmeter使用
perfect88888的博客
04-22 845
windows漏洞多,安全性差, linux下明显内核健全一点 都是字符界面比图形界面响应快,不易死机啊。数据量处理是有优势的。 经常用每秒查询率来衡量域名系统服务器的机器的性能,其即为QPS。 QPS = 并发量 / 平均响应时间 并发量 = QPS * 平均响应时间 流量大的时候用压测,单击QPS负载情况如何 常见的压测工具有jmeter、loadrunner不过以前用loadru...
配置Nginx解决http host头攻击漏洞
cai454692590的博客
02-29 2493
一定要注意 if后面要有空格。
Nginx 在 Web 服务器中防止 Host 头攻击
记录学习的过程
02-12 1935
攻击者通过伪造或篡改 HTTP 请求中的 Host 头,可能导致服务器处理错误的请求,甚至引发信息泄露、缓存污染、钓鱼攻击等安全问题。Host 头攻击是一种常见的安全威胁,但通过合理的 Nginx 配置,可以有效防止此类攻击。本文介绍了如何通过验证 Host 头的合法性、强制设置正确的 Host 头、使用默认服务器块以及正则表达式匹配等方法,增强 Web 服务器的安全性。如果应用程序依赖 Host 头,可以通过 Nginx 强制设置正确的 Host 头,避免攻击者伪造。
我用DoS把自己网站弄挂了
强哥叨逼叨
03-01 201
点击关注强哥,查看更多精彩文章呀 哈喽,大家好,我是强哥。 DoS 拒绝服务攻击 DoS (Denial of Service)作为一种简单的攻击方式,通俗来说就是使用单台主机不断的向目标主机发起大量的请求,用数据包淹没目标系统,以打扰或严重阻止捆绑目标服务响应外来合法的请求,甚至使系统崩溃。 实现Dos攻击,常见的方式有:TCP SYN泛洪(SYN Flood),ping泛洪(ping-Flood),UDP泛洪(UDP-Flood),分片炸弹(fragmentation bombs),缓冲区溢出(
Nginx服务器防御CC攻击配置详解
"本文介绍了如何使用Nginx服务器配置来抵御CC攻击,包括CC攻击的基本原理、以前的防御方法以及为何硬防难以防止CC攻击。文章提出了通过验证浏览器行为的策略来有效防御CC攻击,并提供了Nginx配置示例。" 在Nginx...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值