最好的防御方式就是攻击 知己知彼,百战不殆。掌握攻击者的套路才好顶得住攻击。
可能我的读者多少了解过Nginx,我先给不了解的同学简单说一下原理。已经了解的跳到第二节。
NginxNginx是一款高性能的Web服务器和反向代理服务器。
它可以用来搭建网站、做应用服务器,能够处理大量的并发连接和请求。
类似于一个快递收发室,指挥快递(流量)应该投递到哪个买家。
它还能提供一些高级功能:
读到这里,我知道很多人脑子都要爆了。现在让我们直入主题。结合以上功能的能做哪些攻击方式。
使用Nginx作为反向代理服务器,将攻击流量转发到目标服务器。这样就能隐藏攻击流量的真实地址。
server {
listen 80;
server_name www.example.com;
location / {
proxy_pass http://backend_server;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
www.example.com:80的流量全部都会转发到http://backend_server服务器上。proxy_set_header X-Real-IP $remote_addr; 设置请求头提供真实来源ip。proxy_set_header Host $host;设置访问的Host。只要把X-Real-IP改成其他不存在的IP,就可以隐藏自己的真实IP地址,让攻击更难以被追踪和防御。当然相对于客户端来说,只能知道nginx的地址就不知道真实服务器的地址了。
DDoS攻击就是借助某些工具瞬间发动大量的请求,让服务器资源耗尽,无法正常响应其他用户的请求,一般也常用于压力测试。介绍一些常用的工具:
ApacheBench (ab):常用的命令行工具,用于模拟多个并发请求。可以控制请求总数、并发数等参数。Siege:命令行工具,和上面一样,并且还支持 HTTP 和 HTTPS 协议。JMeter:一个功能强大的 Java 应用程序,可以用于模拟各种负载情况。JMeter 可以通过图形界面进行配置,支持更多协议和数据格式,包括 HTTP、HTTPS、SOAP、REST 等。但事实往往比这个残酷,攻击者会做一些病毒,在网络上传播开来,病毒运行时可以直接疯狂访问服务器,或者利用Nginx提供的反向代理和其支持的比如socket、SSL,不断的建立握手请求。
小熊主要给大家介绍怎么防御。这种病毒感染方式就不说了,我害怕戴银手铐。
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
geo $block {
default 0;
include /path/to/block_ip.txt;
}
server {
listen 80;
location / {
limit_req zone=one burst=10 nodelay;
if ($block) {
return 403;
}
proxy_pass http://backend;
}
}
}
limit_req_zone 定义了一个名为“one”的限制请求速率的区域,该区域的大小为10MB,请求速率限制为每秒5个请求。limit_req 指定使用名为“one”的限制规则。geo $block是黑名单,这个文件可以写需要屏蔽的ip。server块中的location指令使用了limit_req和if表示黑名单的返回403状态码。假设我有两个后端服务器。
http {
upstream backend {
# 轮询方式的负载均衡
server backend1.example.com;
server backend2.example.com;
}
...
server{...}
}
有多种负载均衡方式。
server {
...
location /api/ {
# 轮训
proxy_pass http://backend;
}
location /lb/ {
# IP哈希方式的负载均衡
ip_hash;
proxy_pass http://backend;
}
location /upstream/ {
# 根据服务器性能或响应时间进行加权轮询
upstream backend {
server backend1.example.com weight=2;
server backend2.example.com;
}
# 对 backend 进行访问
proxy_pass http://backend;
}
location /least_conn/ {
# 最少连接数的负载均衡
least_conn;
proxy_pass http://backend;
}
location /random/ {
# 随机方式的负载均衡
random;
proxy_pass http://backend;
}
location /sticky/ {
# 基于客户端IP的哈希方式的负载均衡
hash $remote_addr consistent;
server backend1.example.com;
server backend2.example.com;
}
}
很多人学nginx都会对ip_hash和基于客户端IP的哈希方式的负载均衡有疑惑。分不清,我一句话给大家讲清楚。
ip_hash能保证相同来源一定能访问相同的服务器,适用于登录等有状态的场景。在请求量少的时候,容易出现很多ip落在同一服务器上,分布不均衡。ip请求落到同一服务器上。但是可以保证各个服务器比较均衡。我认为使用方式二更好,可能理解有限,欢迎各位读者分享自己的看法!
黑客可以使用Nginx伪装成一个合法的网站,诱骗用户输入敏感信息。例如,他们可以使用Nginx构造一个伪造的登录页面,让用户输入用户名和密码,然后将这些信息发送给黑客服务器。
其实就是静态托管+反向代理功能的组合。
server {
listen 80;
server_name example.com;
# 静态网站托管
location / {
root /var/www/mywebsite/dist;
index index.html index.htm;
}
# API代理转发
location /api {
proxy_pass http://localhost:8000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
/api路由转发到api服务上。我的博客就用了这种方式,同样的我写了很多了不同的server{}块,来监听不同的域名,这样我可以把多个网站全部部署在同一台机器上,极限利用服务器资源。
这两天在写一个小程序,计划做成程序员资源、求助、内推、课程、学习路线图之类的综合类小程序,所以更新有点慢了,见谅见谅。
对于今天所述的文章,真正有不良居心的人,总是会有更sao的攻击方法。我也不敢说得太多,而且这些攻击的行为都是违法的,建议大家学会以后手下留情。
今天的目的实际上是教大家学会nginx的常用配置方法,用心良苦,莫辜负点个赞再走。
你好,我是小熊,是一个爱技术但是更爱钱的程序员。上进且佛系自律的人。喜欢发小秘密/臭屁又爱炫耀。
奋斗的大学,激情的现在。赚了钱买了房,写了书出了名。当过面试官,带过徒弟搬过转。
大厂外来务工人员。是我,我是小熊,是不一样的烟火欢迎围观。
我的博客 机智的程序员小熊 欢迎收藏
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
我需要从一个View访问多个模型。以前,我的links_controller仅用于提供以不同方式排序的链接资源。现在我想包括一个部分(我假设)显示按分数排序的顶级用户(@users=User.all.sort_by(&:score))我知道我可以将此代码插入每个链接操作并从View访问它,但这似乎不是“ruby方式”,我将需要在不久的将来访问更多模型。这可能会变得很脏,是否有针对这种情况的任何技术?注意事项:我认为我的应用程序正朝着单一格式和动态页面内容的方向发展,本质上是一个典型的网络应用程序。我知道before_filter但考虑到我希望应用程序进入的方向,这似乎很麻烦。最终从任何
我想要做的是有2个不同的Controller,client和test_client。客户端Controller已经构建,我想创建一个test_clientController,我可以使用它来玩弄客户端的UI并根据需要进行调整。我主要是想绕过我在客户端中内置的验证及其对加载数据的管理Controller的依赖。所以我希望test_clientController加载示例数据集,然后呈现客户端Controller的索引View,以便我可以调整客户端UI。就是这样。我在test_clients索引方法中试过这个:classTestClientdefindexrender:template=>
我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server
如果您尝试在Ruby中的nil对象上调用方法,则会出现NoMethodError异常并显示消息:"undefinedmethod‘...’fornil:NilClass"然而,有一个tryRails中的方法,如果它被发送到一个nil对象,它只返回nil:require'rubygems'require'active_support/all'nil.try(:nonexisting_method)#noNoMethodErrorexceptionanymore那么try如何在内部工作以防止该异常? 最佳答案 像Ruby中的所有其他对象
关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭8年前。Improvethisquestion为什么SecureRandom.uuid创建一个唯一的字符串?SecureRandom.uuid#=>"35cb4e30-54e1-49f9-b5ce-4134799eb2c0"SecureRandom.uuid方法创建的字符串从不重复?
我有一个正在构建的应用程序,我需要一个模型来创建另一个模型的实例。我希望每辆车都有4个轮胎。汽车模型classCar轮胎模型classTire但是,在make_tires内部有一个错误,如果我为Tire尝试它,则没有用于创建或新建的activerecord方法。当我检查轮胎时,它没有这些方法。我该如何补救?错误是这样的:未定义的方法'create'forActiveRecord::AttributeMethods::Serialization::Tire::Module我测试了两个环境:测试和开发,它们都因相同的错误而失败。 最佳答案
在Ruby中可以使用哪些替代方法来ping一个ip地址?标准库“ping”库的功能似乎非常有限。我对在这里滚动我自己的代码不感兴趣。有没有好的gem?我应该接受它并忍受它吗?(我在Linux上使用Ruby1.8.6编写代码) 最佳答案 net-ping值得一看。它允许TCPping(如标准rubyping),但也允许UDP、HTTP和ICMPping。ICMPping需要root权限,但其他则不需要。 关于ruby-Pingruby网站?,我们在StackOverflow上找到一个类
我想在Ruby中创建一个用于开发目的的极其简单的Web服务器(不,不想使用现成的解决方案)。代码如下:#!/usr/bin/rubyrequire'socket'server=TCPServer.new('127.0.0.1',8080)whileconnection=server.acceptheaders=[]length=0whileline=connection.getsheaders想法是从命令行运行这个脚本,提供另一个脚本,它将在其标准输入上获取请求,并在其标准输出上返回完整的响应。到目前为止一切顺利,但事实证明这真的很脆弱,因为它在第二个请求上中断并出现错误:/usr/b
我想让一个yaml对象引用另一个,如下所示:intro:"Hello,dearuser."registration:$introThanksforregistering!new_message:$introYouhaveanewmessage!上面的语法只是它如何工作的一个例子(这也是它在thiscpanmodule中的工作方式。)我正在使用标准的rubyyaml解析器。这可能吗? 最佳答案 一些yaml对象确实引用了其他对象:irb>require'yaml'#=>trueirb>str="hello"#=>"hello"ir