歡迎您光臨本站 註冊首頁

如何利用Nginx防止IP地址被惡意解析詳解

←手機掃碼閱讀     月球人 @ 2020-06-08 , reply:0

使用Nginx的目的

使用阿里雲ECS雲服務器,首先聊聊筆者使用Nginx的背景。

初始化ECS後會生成一個公網IP,默認訪問IP地址自動訪問80端口,此時通過ip地址可直接訪問啟動在80端口的服務。

如再把域名解析到當前ip,即可通過域名直接訪問80端口的服務。

然後,出現了一個問題:任何人都可以將域名解析到ip地址,也就是說,通過其他域名也可以訪問到自己ECS上的服務。至於目的,這種攻擊手段未免太光明正大了,應該是想養域名然後售賣(猜測,腦洞夠大的大大交流一下)。

避免這種攻擊的方式有很多種,參考網上的答案,配置Nginx是最方便快捷的。

大致思路如下,web端服務以非80端口啟動(無法直接通過IP地址訪問到),Nginx配置一層正向代理,將域名轉發到域名+端口。

結果:解析後使用自己的域名可以直接訪問,本質上是轉發到了ip地址+端口。而其他域名沒有配置端口轉發,所以會被攔截下來。

使用Nginx的場景有很多,反向代理,負載均衡等等,防止惡意解析只是其中一種。

也許未來或擴展更多Nginx相關的技術經驗,但是代碼只是一種工具,技術只有在解決了真正的問題才會產生價值,不然就如同紙上談兵,毫無意義。

之前看到過一篇文章,講的是兩個開發者在討論技術選擇,其中一個人選擇了冷門的Lua,另一個人表示不解,為什麼不選擇熱門的技術,更好的性能,更好的開發體驗。然而,她的回答是:能解決我們的問題就行了。

我陷入了深思,2019掀起的微服務架構浪潮我也跟了一把,學習了很多新的技術,名詞,感覺盆滿缽滿。然而很難有機會將其運用到實際的項目開發中,高併發,微服務到底是一種技術,還是一種炫耀的資本,解決的是項目中的實際問題還是就業問題。學習無罪,但在學習前我會思考,我會使用它,還是被它所束縛。

就嗶嗶這麼多,以下是在Linux環境下Nginx的常用命令和我複製下來的配置文件(nginx.conf)

常用命令列表

  yum install nginx  //安裝nginx(centos)    //開機自啟  systemctl enable nginx  systemctl disable nginx    //查看nginx狀態  systemctl status nginx    //啟動,停止,重啟  systemctl start nginx  systemctl stop nginx  systemctl restart nginx    //重新加載配置  systemctl reload nginx    //配置文件的默認位置  /etc/nginx 主配置文件nginx.conf

 

防止惡意解析配置

   server {        listen    80 default_server;        server_name _;        access_log  off;        return    444;      }

 

  # For more information on configuration, see:  #  * Official English Documentation: http://nginx.org/en/docs/  #  * Official Russian Documentation: http://nginx.org/ru/docs/    user nginx;  worker_processes auto;  error_log /var/log/nginx/error.log;  pid /run/nginx.pid;    # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.  include /usr/share/nginx/modules/*.conf;    events {    worker_connections 1024;  }    http {    log_format main '$remote_addr - $remote_user [$time_local] "$request" '             '$status $body_bytes_sent "$http_referer" '             '"$http_user_agent" "$http_x_forwarded_for"';      access_log /var/log/nginx/access.log main;      sendfile      on;    tcp_nopush     on;    tcp_nodelay     on;    keepalive_timeout  65;    types_hash_max_size 2048;      include       /etc/nginx/mime.types;    default_type    application/octet-stream;      # Load modular configuration files from the /etc/nginx/conf.d directory.    # See http://nginx.org/en/docs/ngx_core_module.html#include    # for more information.    include /etc/nginx/conf.d/*.conf;      server {        listen    80 default_server;        server_name _;        access_log  off;        return    444;      }    server {      listen    80;      server_name www.zkrun.top;      location / {          proxy_pass http://www.zkrun.top:8080;      }        error_page 404 /404.html;        location = /40x.html {      }        error_page 500 502 503 504 /50x.html;        location = /50x.html {      }    }    # Settings for a TLS enabled server.  #  #  server {  #    listen    443 ssl http2 default_server;  #    listen    [::]:443 ssl http2 default_server;  #    server_name _;  #    root     /usr/share/nginx/html;  #  #    ssl_certificate "/etc/pki/nginx/server.crt";  #    ssl_certificate_key "/etc/pki/nginx/private/server.key";  #    ssl_session_cache shared:SSL:1m;  #    ssl_session_timeout 10m;  #    ssl_ciphers HIGH:!aNULL:!MD5;  #    ssl_prefer_server_ciphers on;  #  #    # Load configuration files for the default server block.  #    include /etc/nginx/default.d/*.conf;  #  #    location / {  #    }  #  #    error_page 404 /404.html;  #      location = /40x.html {  #    }  #  #    error_page 500 502 503 504 /50x.html;  #      location = /50x.html {  #    }  #  }  }



[月球人 ] 如何利用Nginx防止IP地址被惡意解析詳解已經有130次圍觀

http://coctec.com/docs/nginx/show-post-237391.html