Nginx防御压测工具的攻击

最新推荐文章于 2025-04-14 20:36:22 发布
最新推荐文章于 2025-04-14 20:36:22 发布
阅读量160 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维
原文链接:https://yq.aliyun.com/articles/531674
本文介绍如何使用Nginx配置防御类似ab、webbench、jmeter等工具发起的压力测试攻击,这些工具通过制造大量并发请求耗尽服务器资源。文章提供了一个具体的Nginx配置示例,用于识别并限制此类攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

类似于ab,webbench,jmeter等这种压力测试工具,也是一种攻击方式,通过制造大量的并发请求,耗尽服务器资源。

对于一般中小型网站,很可能一句 webbench -c 30000 -t 500 http://hostname/就能让服务器挂掉.

该如何防御?

原理是通过http_user_agent 来判断。

apache ab的http_user_agent 为ApacheBench

webbench的http_user_agent 为WebBench

我的机器的配置:国外VPS  单核1G内存

下面直接贴nginx配置

6092a6cc892ff90d44d785e63cfd4240.png-wh_

java/表示jmeter的user_agent

下面用webbench 测试一下:

2673ba5449b37ed851367e274c8aed79.png-wh_
















本文转自liujing0751CTO博客,原文链接:http://blog.51cto.com/13281352/1976086 ,如需转载请自行联系原作者



渗透试:通过Jmeter实现CSRF跨站请求伪造攻击
songqinxiaoming的博客
06-28 942
首先介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击攻击过程 生成cookie:用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; 获取cookie:攻击中构建一条恶意网站web2的链接,受害者打开恶意链接后,将把本地保存的cookie信息送到恶意网站web2; 伪造攻击:网站web2通过收到的用户A的cookie值,向
这样使用JMeter,将你的网站带入深渊!JMeter让你的服务器瞬间炸裂
m0_60054525的博客
03-30 604
学完这整套教程,拿下大厂30k到50k不是问题。2:全栈性能试,监控以及调优。5:devops持续集成部署。9:全栈系列课企业项目实战。3:全栈试开发平台实战。4:全栈安全试渗透试。6:全栈接口工具进阶。7:跨平台自动化工具。8:大厂简历,真题,录音。
Nginx 在 Web 服务器中止 Host 头攻击
记录学习的过程
02-12 1935
攻击者通过伪造或篡改 HTTP 请求中的 Host 头,可能导致服务器处理错误的请求,甚至引发信息泄露、缓存污染、钓鱼攻击等安全问题。Host 头攻击是一种常见的安全威胁,但通过合理的 Nginx 配置,可以有效止此类攻击。本文介绍了如何通过验证 Host 头的合法性、强制设置正确的 Host 头、使用默认服务器块以及正则表达式匹配等方法,增强 Web 服务器的安全性。如果应用程序依赖 Host 头,可以通过 Nginx 强制设置正确的 Host 头,避免攻击者伪造。
nginx防御ab,webbench,jmeter攻击
程序驱动人生
08-02 2357
类似于ab,webbench,jmeter等这种压力测试工具,也是一种攻击方式,通过制造大量的并发请求,耗尽服务器资源。 对于一般中小型网站,很可能一句 webbench -c 30000 -t 500 http://hostname/就能让服务器挂掉. 该如何防御? 原理是通过http_user_agent 来判断。 apache ab的http_user_agent 为
nginx压力测试止恶意压力测试的方法
热门推荐
求人不如求己,思考才能进步!
07-18 3万+
nginx压力测试方法: #ab命令 #安装ab #Centos系统 yum install apr-util #Ubuntu系统 sudo apt-get install apache2-utils #ab命令的参数 -n //在试会话中所执行的请求个数。默认为1 -c //一次产生的请求个数。默认为1 -t //试所进行的最大秒数。默认值为50000 -p //包含了需要的POST的数据
电子商务网站互联网安全防御攻略
Defonds 的专栏
12-09 1万+
电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下,也希望可以和关心这一块的同行一起讨论一下这方面的话题。
常见的攻击方式以及护策略
泪梦红尘的博客
05-07 2328
本文主要给大家介绍一下常见的几种网络攻击方式(包括CC,UDP,TCP)和基础护策略! 1.0 常见的网络攻击方式 第一种CC攻击 CC攻击( ChallengeCoHapsar,挑战黑洞 )是DDoS攻击的一种常见类型,攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装。CC攻击是一种针对Http业务的攻击手段,该攻击模式不需要太大的攻击流量,它是对服务端业务 处理瓶颈的精确打击,攻击目标包括:大量数据运算、数据库访问、大内存文件等,攻击者控制某些主机不停地发大量数据包给对方服务.
Nginx从入门到精通:第三篇——实战应用与故障排查》
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
03-13 1103
通过本系列三篇文章的学习,您已从零基础进阶为Nginx的实战专家。Nginx的灵活性使其在云原生、边缘计算等前沿领域持续发挥价值。未来可深入探索Kubernetes Ingress Controller与Service Mesh集成,进一步提升架构设计能力。关注我,获取Nginx与云原生技术深度解析!如果您在实践过程中遇到问题,欢迎在评论区留言。
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1689
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
Linux系统安全与容器化实战:从入侵防御到高性能部署
最新发布
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
04-14 1470
点击关注,文末领取《Linux安全配置检查清单》+容器化部署脚本包!
Nginx攻击工具教程一 ngx_http_limit_conn_module
汪翰翔的Blog
04-17 7903
要限制用户的连接数可以通过Limit zone模块来达到目的,即限制同一用户IP地址的并发连接数。    该模块提供了两个命令limit_zone和limit_conn,其中limit_zone只能用在http区段,而limit_conn可以用在http, server, location区段。 示例配置    http { limit_zone one $binary_re
Nginx http_user_agent 防御 ab 等
weixin_30474613的博客
05-31 168
日志出现大量: xxxxxxxxxxxxx - - [04/Jul/2013:23:37:49 +0800] "GET /1000.html HTTP/1.0" 200 56471 "-" "ApacheBench/2.3" - xxxxxxxxxxxxx - - [04/Jul/2013:23:37:49 +0800] "GET /1000.html HTTP/1.0" 200 56471 ...
apache与nginx防御webbench等工具攻击
RobertXin
09-04 338
webbench是一个普遍的压力测试工具 webbench -c 1000 -t 30 url  大量的并发,耗费服务器资源。导致打开url缓慢,甚至服务器down机。   通过access.log日志可看到: 首先,先诅咒攻击的人天天吃饱了没事干 其实:apache与nginx可以通过http_user_agent这个系统变量来做处理   apache添加rewrite规则...
渗透试:通过Jmeter实现CSRF(Cross-site request forgery)跨站请求伪造攻击
qq19970496的博客
09-19 2986
首页介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击攻击过程如下: **生成cookie:**用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; **获取cookie:**攻击中构建一条恶意网站web2的链接,...
压力测试攻击 http_load
Terry - 专注外贸B2C
01-23 664
1. 下载地址:http://acme.com/software/http_load/ wget http://acme.com/software/http_load/http_load-14aug2014.tar.gz tar zxvf http://acme.com/software/http_load/ make make install 33.txt 里面写上地址:然后: ./htt
高并发下jmeter性能及性能提升解决方案(二)nginx反向代理负载均衡
xy294636185的博客
07-12 1546
单机容量问题: 随着并发量提高,单机cpu使用率增高,memory占用增加,网络带宽使用增加。 解决: 需要水平扩展,做nginx反向代理+负载均衡策略,把同一个域名代理到多个不同的application服务器上。就要把后端的tomcat服务器集群以一个统一的域名暴露出去。 如上图架构,就需要四台虚拟机来做水平扩展,一台用于nginx反向代理,一台用于mysql,两台用于jar。 注意设置数据库的远程访问权限: grant all privileges o...
nginx 限流
qq_47955559的博客
03-31 289
nginx 限流nginx 限流一、 Jmeter使用入门二、限制某一IP每秒访问次数三、限制某一IP瞬间并发量 nginx 限流 一、 Jmeter使用入门 Apache Jmeter是Apache组织开发的基于Java的压力测试工具。用于对软件做压力测试,它最初被设计用于 Web应用试,但后来扩展到其他试领域。它可以用于对静态的和动态的资源的性能进行试。也可以用 于对服务器、网络或对象模拟繁重的负载来试它们的强度或分析不同力类型下的整体性能。你还可以使 用它做性能的图形分析或在大并发下负载
ab命令压力测试攻击
尘埃的博客
10-27 864
ab命令会给服务器造成非常高的负载,可能会造成目标服务器资源耗尽,严重时可能会导致死机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值