Как защитить Nginx от инструмента DoS ХАЛКА
Существует инструмент по имени ХАЛК (Http Невыносимый Король Загрузки). Это - инструмент отказа в обслуживании веб-сервера. Это разработано для генерации объемов уникального и запутываемого трафика в веб-сервере, обойдя кэширующиеся механизмы и поэтому поразив прямой пул ресурсов сервера.
Я тестировал это на Nginx, и он подавил Nginx в секундах. Ниже отрывок журналов моего тестирования.
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?UDY=CLZFTJP HTTP/1.1" 200 199265 "http://www.usatoday.com/search/results?q=BZWVGQ" "Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51"
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?YGNBNQK=BEPPWCSMKJ HTTP/1.1" 200 199272 "http://www.google.com/?q=PJCSSRQLT" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)"
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?XETRTJ=LFV HTTP/1.1" 200 199264 "http://www.usatoday.com/search/results?q=QHDEEM" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)"
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?JYJHZB=ZHIB HTTP/1.1" 200 199265 "http://www.mywebsite.com/UPHIBL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.1) Gecko/20090718 Firefox/3.5.1"
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?VHXLKAIB=NCU HTTP/1.1" 200 199266 "http://www.mywebsite.com/KIPQLJH" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)"
192.168.1.10 - - [17/May/2013:16:37:36 +0800] "GET /?IGCQSNG=BNKSM HTTP/1.1" 200 199267 "http://engadget.search.aol.com/search?q=POZWPGSTV" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)"
192.168.1.10 - - [17/May/2013:16:37:36 +0800] "GET /?HUL=BMZAQXXXF HTTP/1.1" 200 199267 "http://www.usatoday.com/search/results?q=KUQNRADOUP" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)"
192.168.1.10 - - [17/May/2013:16:37:36 +0800] "GET /?ZWOWYGEZ=PBEAVXZF HTTP/1.1" 200 199271 "http://engadget.search.aol.com/search?q=FXWHN" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)"
Мой тестовый сервер (CentOS 6.4 64 бита) настроен с Лаком, но как сказанный инструмент, он обошел кэширование Лака.
Я могу установить fail2ban, но как я должен определить regex для этого вида запроса? Или есть ли способ настроить Nginx для защиты от этого вида нападения? Возможно, перепишите правило или что-то?
Я только что наткнулся на эту ветку и заметил, что у нее 2 голоса против. В любом случае, я просто хочу опубликовать то, что я сделал для блокировки запросов HULK.
В /etc/nginx/conf.d/default.conf (или аналогичном). Я добавил следующее в блок server :
if ($args ~* "(.{1,})=(.{1,})" ){
rewrite ^/$ /444_rewrite?;
}
location /444_rewrite {
return 444;
}
Что он делает?
Поскольку сайт использует удобный URL и ни один из URL сайта не начинается с ? и = , я могу перенаправить все эти странные запросы GET на 444. Аргумент (. {{ 1,}) = (. {1,}) указывает Nginx перенаправлять все запросы GET, в которых есть символы с = между ними.