Устранение 404-й бомбы с помощью Nginx
Я получил 404 запроса, и это приводит к отключению моей машины.Почти все мои страницы кэшируются по протоколу http, и у меня есть базовая защита Dos с помощью
limit_conn_zone $http_x_forwarded_for zone=addr:10m;
limit_conn addr 8;
limit_req_zone $http_x_forwarded_for zone=one:10m rate=2r/s;
limit_req zone=one burst=50;
client_body_timeout 5s;
client_header_timeout 5s;
send_timeout 10s;
. Что я могу сделать, чтобы предотвратить эти атаки 404, помимо указанных выше?
limit_req , limit_conn nginx എന്നിവ സജ്ജമാക്കിയതിനുശേഷം നിങ്ങൾ അവയെ വെർച്വൽ ഹോസ്റ്റിൽ പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടോ? എന്നപോലെ:
server {
# ...
location / {
limit_req zone=one;
limit_conn addr 10;
# ...
}
}
കൂടാതെ, ഫയർവാളിൽ (iptables) ചലനാത്മക നിയമങ്ങൾ യാന്ത്രികമായി സൃഷ്ടിക്കുന്നതിനുള്ള ഒരു ലോഗ് പാഴ്സറാണ് പരാജയ 2 ബാൻ. Fail2ban- ൽ നിങ്ങൾക്ക് ഒരു ഫിൽട്ടറും പ്രവർത്തനവും സൃഷ്ടിക്കാൻ കഴിയും, അത് 404 ന്റെ ഒറിജിനൽ ഐപി ഫിൽട്ടർ ചെയ്യുകയും നിരവധി ശ്രമങ്ങൾക്ക് ശേഷം അവ തടയുകയും ചെയ്യാം, അല്ലെങ്കിൽ നിങ്ങൾക്ക് limit_req, limit_conn ലോഗുകൾ ഫിൽട്ടർ ചെയ്യാൻ കഴിയും, അതിനാൽ നിങ്ങൾക്ക് പകരം ആ ഐപികൾ നിരോധിക്കാം (404 ക്ലയന്റുകൾ തടയുന്നത് IP കാരണമായേക്കാം ചില അനാവശ്യ ബ്ലോക്കുകൾ).
vim /etc/fail2ban/jail.d/nginx.conf Leisure1216] ഇത് പകർത്തുക:
[nginx-req-limit]
enabled = true
filter = nginx-req-limit
action = iptables-multiport[name=ReqLimit, port="http,https", protocol=tcp]
logpath = /var/log/nginx/*error.log
findtime = 600
bantime = 7200
maxretry = 10
കണ്ടെത്തൽ സമയംമാക്സ്ട്രിയിൽസംഭവങ്ങളുടെ നിമിഷങ്ങൾക്കുള്ള സമയമാണ് , ഈ സാഹചര്യത്തിൽ 10 മിനിറ്റിനുള്ളിൽ 10 മിനിറ്റിനുള്ളിൽ (600 സെക്കൻഡ്) ഇത് പ്രവർത്തനക്ഷമമാകും.ഫയർവാളിലെ ഐപിയെ കരിമ്പട്ടികയിൽ പെടുത്താനുള്ള സമയമാണ് [111835]. നിമിഷങ്ങൾക്കകം. ഈ സാഹചര്യത്തിൽ ഇത് കുറ്റകരമായ ഐപിയെ 2 മണിക്കൂർ (7200 സെക്കൻഡ്) തടയും.ലോഗ്പാത്ത്നിങ്ങളുടെ വെർച്വൽ ഹോസ്റ്റിനായി nginx ൽ ക്രമീകരിച്ച പിശക് ലോഗാണ്.
jail.conf ൽ jail.d / *. conf റഫറൻസും സേവനവും പുനരാരംഭിക്കുക:
സേവന പരാജയം 2 പുനരാരംഭിക്കുക
ഇത് DDoS ആക്രമണങ്ങൾ ഒഴിവാക്കാൻ നിങ്ങളെ സഹായിക്കും.
മറ്റൊരു ഓപ്ഷൻ മുകളിലുള്ള അഭിപ്രായത്തിൽ പറഞ്ഞിരിക്കുന്നതുപോലെ ഒരു സിഡിഎൻ ഉപയോഗിക്കുന്നത് പരിഗണിക്കേണ്ടതാണ്. ക്ലൗഡ്ഫ്ലേറിന് നല്ലൊരു സ version ജന്യ പതിപ്പുണ്ട്, അത് വളരെയധികം സഹായിക്കും, ഇതിന് ഒരു വെബ് ആപ്ലിക്കേഷൻ ഫയർവാൾ ഉണ്ട്, അത് ചില മോശം ബോട്ടുകളെയും സ്റ്റഫുകളെയും തടയുന്നു. പ്രോ / ബിസിനസ് പതിപ്പുകൾക്ക് കൂടുതൽ ഓപ്ഷനുകൾ ഉണ്ട്, പക്ഷേ പണച്ചെലവ്.