怎么使用Nginx、Nginx Plus抵御DDOS攻擊

一、應(yīng)用層ddos攻擊的特征

應(yīng)用層(七層/http層)ddos 攻擊通常由木馬程序發(fā)起，其可以通過設(shè)計更好的利用目標系統(tǒng)的脆弱點。例如，對于無法處理大量并發(fā)請求的系統(tǒng)，僅僅通過建立大量的連接，并周期性的發(fā)出少量數(shù)據(jù)包來保持會話就可以耗盡系統(tǒng)的資源，使其無法接受新的連接請求達到 ddos 的目的。其他還有采用發(fā)送大量連接請求發(fā)送大數(shù)據(jù)包的請求進行攻擊的形式。因為攻擊是由木馬程序發(fā)起，攻擊者可以在很短時間內(nèi)快速建立大量的連接，并發(fā)出大量的請求。

以下是一些ddos的特證，我們可以據(jù)此特征來抵抗 ddos(包括但不限于)：

1. 攻擊經(jīng)常來源于一些相對固定的 ip 或 ip 段，每個 ip 都有遠大于真實用戶的連接數(shù)和請求數(shù)。(備注：這并不表明這種請求都是代表著 ddos 攻擊。在很多使用nat的網(wǎng)絡(luò)架構(gòu)中，很多的客戶端使用網(wǎng)關(guān)的 ip 地址訪問公網(wǎng)資源。但是，即便如此，這樣的請求數(shù)和連接數(shù)也會遠少于 ddos 攻擊。)

2. 因為攻擊是由木馬發(fā)出且目的是使服務(wù)器超負荷，請求的頻率會遠遠超過正常人的請求。

3. user-agent 通常是一個非標準的值

4. referer 有時是一個容易聯(lián)想到攻擊的值

二、使用nginx、nginx plus抵抗ddos攻擊

結(jié)合上面提到的 ddos 攻擊的特征，nginx、nginx plus有很多的特性可以用來有效的防御 ddos 攻擊，可以從調(diào)整入口訪問流量和控制反向代理到后端服務(wù)器的流量兩個方面來達到抵御 ddos 攻擊的目的。

1. 限制請求速度

設(shè)置 nginx、nginx plus 的連接請求在一個真實用戶請求的合理范圍內(nèi)。比如，如果你覺得一個正常用戶每兩秒可以請求一次登錄頁面，你就可以設(shè)置 nginx 每兩秒鐘接收一個客戶端 ip 的請求(大約等同于每分鐘30個請求)。

limit_req_zone?$binary_remote_addr?zone=one:10m?rate=30r/m;? server?{? ...? location?/login.html?{? limit_req?zone=one;? ...? }? }

`limit_req_zone` 命令設(shè)置了一個叫 one 的共享內(nèi)存區(qū)來存儲請求狀態(tài)的特定鍵值，在上面的例子中是客戶端 ip($binary_remote_addr)。location 塊中的 `limit_req` 通過引用 one 共享內(nèi)存區(qū)來實現(xiàn)限制訪問 /login.html 的目的。

2. 限制連接數(shù)量

設(shè)置 nginx、nginx plus 的連接數(shù)在一個真實用戶請求的合理范圍內(nèi)。比如，你可以設(shè)置每個客戶端 ip 連接 /store 不可以超過10個。

limit_conn_zone?$binary_remote_addr?zone=addr:10m;? server?{? ...? location?/store/?{? limit_conn?addr?10;? ...? }? }

`limit_conn_zone` 命令設(shè)置了一個叫 addr 的共享內(nèi)存區(qū)來存儲特定鍵值的狀態(tài)，在上面的例子中是客戶端 ip( $binary_remote_addr)。location 塊中 `limit_conn` 通過引用 addr 共享內(nèi)存區(qū)來限制到 /store/ 的最大連接數(shù)為10。

3. 關(guān)閉慢連接

有一些 ddos 攻擊，比如 slowlris，是通過建立大量的連接并周期性的發(fā)送一些數(shù)據(jù)包保持會話來達到攻擊目的，這種周期通常會低于正常的請求。這種情況我們可以通過關(guān)閉慢連接來抵御攻擊。

`client_body_timeout` 命令用來定義讀取客戶端請求的超時時間，`client_header_timeout` 命令用來定于讀取客戶端請求頭的超時時間。這兩個參數(shù)的默認值都是 60s，我們可以通過下面的命令將他們設(shè)置為 5s：

server?{? client_body_timeout?5s;? client_header_timeout?5s;? ...? }

4. 設(shè)置ip黑名單

如果確定攻擊來源于某些 ip 地址，我們可以將其加入黑名單，nginx 就不會再接受他們的請求。比如，你已經(jīng)確定攻擊來自于從123.123.123.1到123.123.123.16的一段 ip 地址，你可以這樣設(shè)置：

location?/?{? deny?123.123.123.0/28;? ...? }

或者你確定攻擊來源于123.123.123.3、123.123.123.5、123.123.123.7幾個ip，可以這樣設(shè)置：

location?/?{? deny?123.123.123.3;? deny?123.123.123.5;? deny?123.123.123.7;? ...? }

5. 設(shè)置ip白名單

如果你的網(wǎng)站僅允許特定的 ip 或 ip 段訪問，你可以結(jié)合使用 allow 和 deny 命令來限制僅允許你指定的 ip 地址訪問你的網(wǎng)站。如下，你可以設(shè)置僅允許 192.168.1.0 段的內(nèi)網(wǎng)用戶訪問：

location?/?{? allow?192.168.1.0/24;? deny?all;? ...? }

deny 命令會拒絕除了 allow 指定的 ip 段之外的所有其他 ip 的訪問請求。

6. 使用緩存進行流量削峰

通過打開 nginx 的緩存功能并設(shè)置特定的緩存參數(shù)，可以削減來自攻擊的流量，同時也可以減輕對后端服務(wù)器的請求壓力。以下是一些有用的設(shè)置：

1. proxy_cache_use_stale ` 的 updating 參數(shù)告訴 nginx 什么時候該更新所緩存的對象。只需要到后端的一個更新請求，在緩存有效期間客戶端對該對象的請求都無需訪問后端服務(wù)器。當通過對一個文件的頻繁請求來實施攻擊時，緩存功能可極大的降低到后端服務(wù)器的請求。

2. proxy_cache_key ` 命令定義的鍵值通常包含一些內(nèi)嵌的變量(默認的鍵值 $scheme$proxy_host$request_uri 包含了三個變量)。如果鍵值包含 `$query_string` 變量，當攻擊的請求字符串是隨機的時候就會給 nginx 代理過重的緩存負擔，因此我們建議一般情況下不要包含 `$query_string` 變量。

7. 屏蔽特定的請求

可以設(shè)置 nginx、nginx plus 屏蔽一些類型的請求：

1. 針對特定 url 的請求

2. 針對不是常見的 user-agent 的請求

3. 針對 referer 頭中包含可以聯(lián)想到攻擊的值的請求

4. 針對其他請求頭中包含可以聯(lián)想到攻擊的值的請求

比如，如果你判定攻擊是針對一個特定的 url：/foo.php，我們就可以屏蔽到這個頁面的請求：

location?/foo.php?{? deny?all;? }

或者你判定攻擊請求的 user-agent 中包含 foo 或 bar，我們也可以屏蔽這些請求：

location?/?{? if?($http_user_agent?~*?foo|bar)?{? return?403;? }? ...? }

http_name 變量引用一個請求頭，上述例子中是 user-agent 頭。可以針對其他的 http 頭使用類似的方法來識別攻擊。

8. 限制到后端服務(wù)器的連接數(shù)

一個 nginx、nginx plus 實例可以處理比后端服務(wù)器多的多的并發(fā)請求。在 nginx plus 中，你可以限制到每一個后端服務(wù)器的連接數(shù)，比如可以設(shè)置 nginx plus 與 website upstream 中的每個后端服務(wù)器建立的連接數(shù)不得超過200個：

upstream?website?{? server?192.168.100.1:80?max_conns=200;? server?192.168.100.2:80?max_conns=200;? queue?10?timeout=30s;? }

`max_conns` 參數(shù)可以針對每一個后端服務(wù)器設(shè)置 nginx plus 可以與之建立的最大連接數(shù)。`queue` 命令設(shè)置了當每個后端服務(wù)器都達到最大連接數(shù)后的隊列大小，`timeout` 參數(shù)指定了請求在隊列中的保留時間。

9. 處理特定類型的攻擊

有一種攻擊是發(fā)送包含特別大的值的請求頭，引起服務(wù)器端緩沖區(qū)溢出。nginx、nginx plus 針對這種攻擊類型的防御，可以參考

[using nginx and nginx plus to protect against cve-2015-1635]
)

10. 優(yōu)化nginx性能

ddos 攻擊通常會帶來高的負載壓力，可以通過一些調(diào)優(yōu)參數(shù)，提高 nginx、nginx plus 處理性能，硬抗 ddos 攻擊，詳細參考：

[tuning nginx for performance]

三、識別ddos攻擊

到目前為止，我們都是集中在如何是用 nginx、nginx plus 來減輕 ddos 攻擊帶來的影響。如何才能讓 nginx、nginx plus 幫助我們識別 ddos 攻擊呢?`nginx plus status module` 提供了到后端服務(wù)器流量的詳細統(tǒng)計，可以用來識別異常的流量。nginx plus 提供一個當前服務(wù)狀態(tài)的儀表盤頁面，同時也可以在自定義系統(tǒng)或其他第三方系統(tǒng)中通過 api 的方式獲取這些統(tǒng)計信息，并根據(jù)歷史趨勢分析識別非正常的流量進而發(fā)出告警。