快捷導(dǎo)航

如何利用Nginx防止IP地址被惡意解析詳解

更新時(shí)間：2020年06月05日 08:45:34 作者：Noneplus

這篇文章主要給大家介紹了關(guān)于如何利用Nginx防止IP地址被惡意解析的相關(guān)資料，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家學(xué)習(xí)或者使用Nginx具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧

使用Nginx的目的

使用阿里云ECS云服務(wù)器，首先聊聊筆者使用Nginx的背景。

初始化ECS后會(huì)生成一個(gè)公網(wǎng)IP，默認(rèn)訪問IP地址自動(dòng)訪問80端口，此時(shí)通過ip地址可直接訪問啟動(dòng)在80端口的服務(wù)。

如再把域名解析到當(dāng)前ip，即可通過域名直接訪問80端口的服務(wù)。

然后，出現(xiàn)了一個(gè)問題：任何人都可以將域名解析到ip地址，也就是說，通過其他域名也可以訪問到自己ECS上的服務(wù)。至于目的，這種攻擊手段未免太光明正大了，應(yīng)該是想養(yǎng)域名然后售賣（猜測(cè)，腦洞夠大的大大交流一下）。

避免這種攻擊的方式有很多種，參考網(wǎng)上的答案，配置Nginx是最方便快捷的。

大致思路如下，web端服務(wù)以非80端口啟動(dòng)（無法直接通過IP地址訪問到）,Nginx配置一層正向代理，將域名轉(zhuǎn)發(fā)到域名+端口。

結(jié)果：解析后使用自己的域名可以直接訪問，本質(zhì)上是轉(zhuǎn)發(fā)到了ip地址+端口。而其他域名沒有配置端口轉(zhuǎn)發(fā)，所以會(huì)被攔截下來。

使用Nginx的場(chǎng)景有很多，反向代理，負(fù)載均衡等等，防止惡意解析只是其中一種。

也許未來或擴(kuò)展更多Nginx相關(guān)的技術(shù)經(jīng)驗(yàn)，但是代碼只是一種工具，技術(shù)只有在解決了真正的問題才會(huì)產(chǎn)生價(jià)值，不然就如同紙上談兵，毫無意義。

之前看到過一篇文章，講的是兩個(gè)開發(fā)者在討論技術(shù)選擇，其中一個(gè)人選擇了冷門的Lua，另一個(gè)人表示不解，為什么不選擇熱門的技術(shù)，更好的性能，更好的開發(fā)體驗(yàn)。然而，她的回答是：能解決我們的問題就行了。

我陷入了深思，2019掀起的微服務(wù)架構(gòu)浪潮我也跟了一把，學(xué)習(xí)了很多新的技術(shù)，名詞，感覺盆滿缽滿。然而很難有機(jī)會(huì)將其運(yùn)用到實(shí)際的項(xiàng)目開發(fā)中，高并發(fā)，微服務(wù)到底是一種技術(shù)，還是一種炫耀的資本，解決的是項(xiàng)目中的實(shí)際問題還是就業(yè)問題。學(xué)習(xí)無罪，但在學(xué)習(xí)前我會(huì)思考，我會(huì)使用它，還是被它所束縛。

就嗶嗶這么多，以下是在Linux環(huán)境下Nginx的常用命令和我復(fù)制下來的配置文件（nginx.conf）

常用命令列表

yum install nginx  //安裝nginx（centos）

//開機(jī)自啟
systemctl enable nginx
systemctl disable nginx

//查看nginx狀態(tài)
systemctl status nginx

//啟動(dòng)，停止，重啟
systemctl start nginx
systemctl stop nginx
systemctl restart nginx

//重新加載配置
systemctl reload nginx

//配置文件的默認(rèn)位置
/etc/nginx 主配置文件nginx.conf

防止惡意解析配置

 server {
      listen    80 default_server;
      server_name _;
      access_log  off;
      return    444;
    }

# For more information on configuration, see:
#  * Official English Documentation: http://nginx.org/en/docs/
#  * Official Russian Documentation: http://nginx.org/ru/docs/

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
  worker_connections 1024;
}

http {
  log_format main '$remote_addr - $remote_user [$time_local] "$request" '
           '$status $body_bytes_sent "$http_referer" '
           '"$http_user_agent" "$http_x_forwarded_for"';

  access_log /var/log/nginx/access.log main;

  sendfile      on;
  tcp_nopush     on;
  tcp_nodelay     on;
  keepalive_timeout  65;
  types_hash_max_size 2048;

  include       /etc/nginx/mime.types;
  default_type    application/octet-stream;

  # Load modular configuration files from the /etc/nginx/conf.d directory.
  # See http://nginx.org/en/docs/ngx_core_module.html#include
  # for more information.
  include /etc/nginx/conf.d/*.conf;
    server {
      listen    80 default_server;
      server_name _;
      access_log  off;
      return    444;
    }
  server {
    listen    80;
    server_name www.zkrun.top;
    location / {
        proxy_pass http://www.zkrun.top:8080;
    }

    error_page 404 /404.html;
      location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
      location = /50x.html {
    }
  }

# Settings for a TLS enabled server.
#
#  server {
#    listen    443 ssl http2 default_server;
#    listen    [::]:443 ssl http2 default_server;
#    server_name _;
#    root     /usr/share/nginx/html;
#
#    ssl_certificate "/etc/pki/nginx/server.crt";
#    ssl_certificate_key "/etc/pki/nginx/private/server.key";
#    ssl_session_cache shared:SSL:1m;
#    ssl_session_timeout 10m;
#    ssl_ciphers HIGH:!aNULL:!MD5;
#    ssl_prefer_server_ciphers on;
#
#    # Load configuration files for the default server block.
#    include /etc/nginx/default.d/*.conf;
#
#    location / {
#    }
#
#    error_page 404 /404.html;
#      location = /40x.html {
#    }
#
#    error_page 500 502 503 504 /50x.html;
#      location = /50x.html {
#    }
#  }
}

總結(jié)

到此這篇關(guān)于如何利用Nginx防止IP地址被惡意解析的文章就介紹到這了,更多相關(guān)Nginx防止IP地址惡意解析內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: