本文介绍如何利用NGINX实现金盾防火墙功能,通过设置阈值和使用哈希算法,有效防止CC攻击。文章详细解释了实现思路和技术细节,包括对单个IP并发请求的限制、使用JS混淆区域以及随机数生成等策略,以增加破解难度。
文章整理中......
实现思路
- 当服务器接收到的单个IP并发超出阀值, 加入封禁区(弹回2).
- 服务器根据IP、UA、SESSION_ID、年、月、日、时、分、...进行唯一哈希, 输出成
\x00\x01类似的JS容易理解的数据.- 多次随机数, 加大破解难度.
- 若浏览器仍死不悔改, 继续弹回.
技术细节
- 单个IP并发超限, 触发limit_req规则, 在nginx内存中标识此ip的屏蔽过期时间, forbid_action=进入js混淆区.
- 由ip、ua、session_id、date进行哈希, 并用nginx模块进行escape化, 输出到浏览器.
- 用set_random输出多个随机数, 防止被脚本破解.
- 如果浏览器成功将哈希请求到nginx, limit_req_clear.
规则细节
- 当单个IP并发3秒钟内超过30, 并连续发生3次, 封禁300秒
- 当单个IP并发5秒钟内超过50, 并连续发生5次, 封禁3600秒
- 当单个IP并发10秒钟内超过100, 并连续发生6次, 封禁86400秒
上述所有的
封禁均是指弹回加密的js, 让浏览器执行.
http{
}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
