如何防止CC攻击?Nginx限流与WAF规则实战
《全面防御CC攻击:Nginx限流配置与WAF规则实战指南》
CC攻击(Challenge Collapsar,挑战黑洞)是一种针对Web服务器的DDoS攻击方式,攻击者通过大量恶意请求耗尽服务器资源,导致正常用户无法访问,相比传统的DDoS攻击,CC攻击更隐蔽,通常针对应用层(如HTTP/HTTPS),使得传统防火墙难以有效拦截。
本文将详细介绍如何利用Nginx限流和WAF(Web应用防火墙)规则来防御CC攻击,并提供实战配置示例,帮助管理员提升服务器的抗攻击能力。
CC攻击的特点与危害
1 CC攻击的特点
- 低流量、高并发:不像传统DDoS攻击依赖大流量,CC攻击通常采用大量低带宽请求,使服务器CPU、内存、数据库等资源耗尽。
- 模拟正常用户:攻击请求往往伪装成合法用户,难以通过IP或请求内容直接识别。
- 目标明确:通常针对登录接口、搜索页面、API接口等高消耗型业务。
2 CC攻击的危害
- 服务不可用:服务器响应变慢甚至崩溃,影响正常业务。
- 数据库压力:频繁查询可能导致数据库负载激增。
- SEO降权:搜索引擎可能因网站不稳定而降低排名。
Nginx限流防御CC攻击
Nginx作为高性能Web服务器,可以通过限流模块(ngx_http_limit_req_module和ngx_http_limit_conn_module)有效缓解CC攻击。
1 限制请求速率(limit_req)
limit_req模块基于漏桶算法,限制客户端在单位时间内的请求次数。
配置示例:
http {
limit_req_zone $binary_remote_addr zone=cc_limit:10m rate=10r/s;
server {
location / {
limit_req zone=cc_limit burst=20 nodelay;
proxy_pass http://backend;
}
}
}
limit_req_zone:定义限流规则,$binary_remote_addr表示基于客户端IP限流,zone=cc_limit:10m分配10MB内存存储状态,rate=10r/s限制每秒10个请求。limit_req:在location中应用限流,burst=20允许突发20个请求,nodelay表示不延迟处理。
2 限制并发连接数(limit_conn)
limit_conn模块限制单个IP的并发连接数,防止攻击者占用过多连接。
配置示例:
http {
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;
server {
location / {
limit_conn conn_limit 5; # 每个IP最多5个并发连接
proxy_pass http://backend;
}
}
}
3 结合GeoIP限制特定地区访问
如果业务仅面向特定地区,可以通过GeoIP模块屏蔽恶意IP段。
http {
geo $blocked_country {
default 0;
include /etc/nginx/geoip.conf; # 包含恶意IP段
}
server {
if ($blocked_country) {
return 403;
}
}
}
WAF规则实战防御CC攻击
WAF(Web Application Firewall)可以检测并拦截恶意请求,常见的开源WAF如ModSecurity、NAXSI(Nginx插件),商业WAF如Cloudflare、阿里云WAF等。
1 使用ModSecurity防御CC攻击
ModSecurity是一个开源的WAF引擎,支持自定义规则拦截CC攻击。
安装与配置:
- 安装ModSecurity(以Ubuntu为例):
sudo apt-get install libapache2-mod-security2 -y sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
- 启用CC防护规则(在
modsecurity.conf中):SecRuleEngine On SecAction "id:1000,phase:1,nolog,pass,setvar:ip.scores=+1,expirevar:ip.scores=60" SecRule IP:SCORES "@gt 10" "id:1001,phase:1,deny,status:403,msg:'CC Attack Detected'"
该规则统计单个IP在60秒内的请求次数,超过10次则拦截。
2 使用NAXSI(Nginx插件)
NAXSI是Nginx的轻量级WAF模块,适合高性能场景。
配置示例:
http {
include /etc/nginx/naxsi_core.rules;
server {
location / {
SecRulesEnabled;
DeniedUrl "/50x.html";
CheckRule "$SQL >= 8" BLOCK;
CheckRule "$RFI >= 8" BLOCK;
CheckRule "$TRAVERSAL >= 4" BLOCK;
CheckRule "$CC_DETECTION >= 10" BLOCK; # 检测CC攻击
}
}
}
3 商业WAF方案(Cloudflare/Aliyun WAF)
- Cloudflare:启用“Rate Limiting”规则,限制单个IP的请求频率。
- 阿里云WAF:配置CC防护策略,设置QPS阈值和拦截动作。
综合防御策略
1 多层防护架构
- 前端CDN/WAF:过滤恶意流量(如Cloudflare)。
- Nginx限流:限制请求速率和并发连接。
- 应用层防护:如Fail2Ban自动封禁恶意IP。
2 Fail2Ban自动封禁IP
Fail2Ban可分析Nginx日志,自动封禁频繁请求的IP。
配置示例:
[nginx-cc] enabled = true filter = nginx-cc action = iptables-multiport[name=nginx-cc, port="http,https", protocol=tcp] logpath = /var/log/nginx/access.log maxretry = 50 # 50次请求后封禁 findtime = 60 # 60秒内 bantime = 3600 # 封禁1小时
3 日志分析与监控
- 使用
ELK(Elasticsearch+Logstash+Kibana)分析Nginx日志,发现异常请求。 - 设置
Prometheus+Grafana监控服务器负载,及时告警。
CC攻击对Web服务威胁极大,但通过Nginx限流、WAF规则和综合防护策略,可以有效降低风险,关键点包括:
- Nginx限流:
limit_req和limit_conn控制请求速率。 - WAF防护:ModSecurity/NAXSI拦截恶意请求。
- 自动化防御:Fail2Ban+日志监控实现动态封禁。
通过合理的配置和持续优化,企业可以大幅提升抗CC攻击能力,保障业务稳定运行。
(全文约2200字)
