公网服务器上Nginx或者Openresty如何屏蔽IP直接扫描

0x01 背景

云服务器很多时候为了通信需要设置公网访问,但是网络当中存在很多的扫描器,无时无刻在扫描,当80,443端口暴露时,成了这些扫描IP的攻击对象,无时无刻收到威胁。

0x02 扫描攻击方式

1.直接通过公网IP地址进行一些关键url的扫描,如遍历路径,配置文件获取,备份文件,一些远程注入漏洞url,在无时无刻的刷;

2.可能利用域名的header host欺骗 ,引导用户跳转到非法网站,导致用户信息泄露。

0x03 解决办法

1.Nginx配置封禁IP直接访问
bash 复制代码
server {
        listen 80 default;
        server_name _;
        location / {
                return 403;
        }
}
2.Openresty 配置

2.1,也可以和上述Nginx的配置一样

2.2 利用Openresty可扩展的能力,加强url,关键字,请求参数的过滤访问。主要有以下几种

参数过滤

黑名单IP

非法cookie

post参数

url

非法User agent

相关推荐
努力买辣条5 小时前
基于 Docker 的高可用 WordPress 集群部署:分布式 Nginx + Keepalived、MySQL 主从复制与 ProxySQL 读写分离
分布式·nginx·docker
IDIOT___IDIOT7 小时前
Linux mount 命令
linux·运维·服务器
暗流者7 小时前
AAA 服务器与 RADIUS 协议笔记
运维·服务器·笔记
青草地溪水旁10 小时前
服务发现实例和服务实例是不同的
服务器·服务发现·服务实例
于冬恋11 小时前
RabbitMQ高级
服务器·网络·rabbitmq
算力魔方AIPC12 小时前
如何用算力魔方4060安装PaddleOCR MCP 服务器
运维·服务器
tan77º12 小时前
【Linux网络编程】分布式Json-RPC框架 - 项目设计
linux·服务器·网络·分布式·网络协议·rpc·json
Ray Song12 小时前
【Linux】 wget、curl 用法区别
linux·运维·服务器·curl·wget
小妖66613 小时前
本地文件夹即时变身 Web 服务器(文件服务器)
运维·服务器
谢尔登17 小时前
【计算机网络】 IPV4和IPV6区别
运维·服务器·计算机网络