Назад | Перейти на главную страницу

Как защитить Nginx от HULK DoS tool

Есть инструмент под названием ХАЛК (Http Unbearable Load King). Это инструмент отказа в обслуживании веб-сервера. Он предназначен для создания объемов уникального и скрытого трафика на веб-сервере, минуя механизмы кеширования и, следовательно, попадая в пул прямых ресурсов сервера.

Я тестировал это на Nginx, и он остановил Nginx за секунды. Ниже приведен фрагмент журнала моего тестирования.

192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?UDY=CLZFTJP HTTP/1.1" 200 199265 "http://www.usatoday.com/search/results?q=BZWVGQ" "Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51"
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?YGNBNQK=BEPPWCSMKJ HTTP/1.1" 200 199272 "http://www.google.com/?q=PJCSSRQLT" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)"
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?XETRTJ=LFV HTTP/1.1" 200 199264 "http://www.usatoday.com/search/results?q=QHDEEM" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)"
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?JYJHZB=ZHIB HTTP/1.1" 200 199265 "http://www.mywebsite.com/UPHIBL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.1) Gecko/20090718 Firefox/3.5.1"
192.168.1.10 - - [17/May/2013:16:37:35 +0800] "GET /?VHXLKAIB=NCU HTTP/1.1" 200 199266 "http://www.mywebsite.com/KIPQLJH" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)"
192.168.1.10 - - [17/May/2013:16:37:36 +0800] "GET /?IGCQSNG=BNKSM HTTP/1.1" 200 199267 "http://engadget.search.aol.com/search?q=POZWPGSTV" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)"
192.168.1.10 - - [17/May/2013:16:37:36 +0800] "GET /?HUL=BMZAQXXXF HTTP/1.1" 200 199267 "http://www.usatoday.com/search/results?q=KUQNRADOUP" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)"
192.168.1.10 - - [17/May/2013:16:37:36 +0800] "GET /?ZWOWYGEZ=PBEAVXZF HTTP/1.1" 200 199271 "http://engadget.search.aol.com/search?q=FXWHN" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)"

Мой тестовый сервер (CentOS 6.4 64bit) настроен с помощью Varnish, но, как сказано в инструменте, он обошел кеширование Varnish.

Я могу установить fail2ban, но как мне определить регулярное выражение для такого запроса? Или есть способ настроить Nginx для защиты от такого рода атак? Может быть, переписать правило или еще что?

Я только что наткнулся на эту тему и заметил, что у нее 2 голоса против. В любом случае, я просто хочу опубликовать то, что я сделал, чтобы заблокировать запросы HULK.

В /etc/nginx/conf.d/default.conf (или похожие). Я добавил следующее внутри server блок:

if ($args ~* "(.{1,})=(.{1,})" ){
        rewrite ^/$ /444_rewrite?;
}
location  /444_rewrite {
        return 444;
}

Что оно делает? Поскольку сайт использует понятный URL-адрес, и ни один из URL-адресов сайта не начинается с ? и =, Я могу перенаправить все эти странные запросы GET на 444. Аргумент (.{1,})=(.{1,}) сообщает Nginx перенаправить все запросы GET, в которых есть символы с = между ними.