使用fail2ban防止恶意扫描和CC攻击-适合有Linux基础来设置

头像
113资讯网
    阅读 4 分钟
    fail2ban从Nginx日志找出恶意IP并调用firewalld直接封禁,从而达到防止恶意扫描和CC攻击的目的。

    为什么需要fail2ban
    如果检查Nginx访问日志,可能经常会看到如下恶意扫描日志,
    网站流量再大一点,可能不时(经常)会遇到DDos攻击或者 CC攻击 。 使用 服务器简易防CC攻击设置 的方案,恶意请求会返回503错误,Nginx日志会有如下记录:


    无论404恶意扫描还是CC攻击,最佳做法是一经发现,立马将IP拉入黑名单。遗憾的是firewalld能拉黑IP,但是不知道该拉黑谁。
    fail2ban 就是一个能将Nginx日志和firewalld结合的软件:扫描Nginx日志,根据规则找出恶意IP,然后调用firewalld/iptables封禁IP。
    fail2ban如其名,根据规则找出有问题的IP(测试fail),然后ban掉。fail2ban不仅可以扫描Nginx日志,也可以扫描SSH、httpd、SMTP等多种应用软件的日志,并按照配置执行封禁操作。实际中fail2ban常用于扫描SSH日志,防止SSH暴力破解。

    下面介绍使用fail2ban防止恶意扫描和CC攻击。

    fail2ban防止恶意扫描和CC攻击

    安装fail2ban

    fail2ban软件包包含在绝大多数发行版的软件仓库中,因此可以直接用包管理软件安装:

    # CentOS
yum install -y fail2ban
# debian使用apt的系统
apt-get install -y fail2ban

    fail2ban配置文件

    fail2ban的配置文件位于 /etc/fail2ban 目录内,有以下重要配置文件(夹),分别对应三个核心概念:

    • jail.conf:对应核心概念“jail”(牢笼/监狱),一个jail由action和filter组成,代表监控目标。jail.conf配置软件监控目标及发现恶意IP后的操作;
    •  action.d:对应核心概念action(动作),表示发现恶意IP后采取的操作。action.d目录中预定义了许多常用操作,例如调用iptables/firewalld封禁、sendmail发送通知邮件;
    •  filter.d: 对应核心概念filter(过滤规则),过滤规则是用来匹配恶意行为的规则文件/正则表达式。filter.d目录内预定于了许多软件监控规则,例如SSH、Nginx、Apache。

    我们的监控目的由两部分组成:1. 查找短时间内同IP的404记录,防止恶意扫描;2. 查找短时间内的503记录,阻止CC攻击。查找恶意IP由过滤规则负责,我们先对其进行定义。

    定义fail2ban过滤规则

    过滤规则配置文件位于在 /etc/fail2ban/filter.d 目录下,我们新建 nginxcc.conf 文件,写入如下内容:

    [Definition]
failregex = ^ .* "(GET|POST|HEAD).*HTTP.*" (404|503) .*$
ignoreregex =.*(robots.txt|favicon.ico|jpg|png)

    配置文件总共三行,分表表示过滤规则的定义、恶意请求的正则表达式、以及应该忽略的正则。failregex中的<HOST>代表主机IP,404|503表示我们仅匹配这两个为恶意的请求。

    请根据Nginx日志格式,以及自身需求修改failregex和ignoreregex

    113资讯网:www.113p.cn

    正则表达式比较复杂,因此正式使用前应该测试一下规则是否起作用。fail2ban很贴心的提供了fail2ban-regex 命令用来测试过滤规则:
    `1. # 语法:fail2ban-regex 日志文件 规则文件

    1. fail2ban-regex /var/log/nginx/tlanyan.access.log /etc/fail2ban/filter.d/nginxcc.conf

    该命令输出如下:

    1. Running tests
    2. =============
    3. Use failregex filter file : nginx404, basedir: /etc/fail2ban
    4. Use log file : test.log
    5. Use encoding : UTF-8
    6. Results
    7. =======
    8. Failregex: 59 total
    9. |- #) [# of hits] regular expression
    10. | 1) [59] ^ .* "(GET|POST|HEAD).*HTTP.*" (404|503) .*$
    11. `-
    12. Ignoreregex: 16 total
    13. |- #) [# of hits] regular expression
    14. | 1) [16] .*(robots.txt|favicon.ico|jpg|png)
    15. `-
    16. Date template hits:
    17. |- [# of hits] date format
    18. | [10000] Day(?P<_sep>[-/])MON(?P=_sep)ExYear[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
    19. `-
    20. Lines: 10000 lines, 16 ignored, 59 matched, 9925 missed`

    输出显示匹配到的行数、忽略的行数已经未匹配上的行数。

    如果输出与预期相符,说明过滤规则书写正确,否则应该编辑规则文件,修改正则表达式后再次测试。

    接下来配置监控目标。

    配置fail2ban监控目标

    系统内置的监控目标在 /etc/fail2ban/jail.conf 文件中,官方建议自定义的监控目标放在 /etc/fail2ban/jail.local 或者在 /etc/fail2ban/jail.d 目录中新建配置文件。本文将监控目标定义在 /etc/fail2ban/jial.local 文件里,写入下面内容:

    [nginxcc]
enabled = true
#port = http,https
filter = nginxcc
action = firewallcmd-allports[name=nginxcc]
logpath = /var/log/nginx/tlanyan.access.log
bantime = 7200
findtime = 600
maxretry = 5

    配置说明如下:

    • nginxcc:监控目标名称
    • port:封禁的端口,本文中我们注释掉,表示封禁所有端口
    • filter:过滤规则,我们使用自定义的nginxcc
    • action:捕捉到恶意IP后执行的操作,本文使用firewallcmd对IP封禁所有端口
    • logpath:监控的日志文件
    • bantime:封禁时间,单位为秒
    • findtime:查找时间段,单位为秒
    • maxretry:允许的最大失败次数,这里我们配置10分钟内触发5次规则,那么就封禁掉

    配置好后保存配置文件,设置开启启动并启动fail2ban:

    systemctl enable fail2ban
systemctl start fail2ban

    测试监控目标

    接下来可以测试监控目标是否按期执行,我们可以在另外一台VPS上,执行下面的脚本测试能否出发封禁:

    #!/bin/bash
for ((i=1;i<=20;i++)); do
curl https://tlanyan.me/test.php
done
echo "done"

    注意,不能测试test.png,因为过滤规则配置了忽略png、jpg等后缀
    执行完脚本后过一两分钟,再次执行,应该会提示无法连接到服务器,与预期相符。

    查看监控状态

    fail2ban提供了fail2ban-client 查看监控状态。

    # 查看fail2ban的运行状态
fail2ban-client status
# 输出如下:
# Status
# |- Number of jail:    1
# `- Jail list:    nginxcc
 
# 查看指定监控的状态
fail2ban-client status nginxcc
# 输出如下:
# Status for the jail: nginx404
# |- Filter
# |  |- Currently failed:    0
# |  |- Total failed:    1461
# |  `- File list:    /var/log/nginx/tlanyan.access.log
# `- Actions
#    |- Currently banned:    3
#    |- Total banned:    9
#    `- Banned IP list:    37.139.8.104 194.99.106.146 185.43.251.185

    Banned IP list 列出了当前被封禁的IP。如果发现有误杀IP,可以用unbanip解封:

    1. fail2ban-client set nginxcc unbanip IP地址

    最后:最后我必须先申明一下,众所周知,CC攻击指的是分布式拒绝服务。本文所阐述的CC攻击,指的是单个IP达到我们设定好的阈值并发请求,而非海量IP的低并发攻击!对于个人低配服务器,除了使用CDN来防护,至少我是没有想到如何抵挡海量IP攻击的!因为每个IP都模拟正常的用户浏览器请求,并不会触发防御阈值,同时来1000个,甚至上万个,个人低配服务器的带宽在第一时间就会被占满,就无法继续提供服务了。

    当然,用脚本也是无法防御CC大流量攻击的,因为所有机房的防御带宽是有限的,当攻击的流量超过了机房的防御带宽,要么机房把你的服务器IP拉黑洞,要么就一起死。因此,如果你的服务器正遭受大流量攻击,比如几十G上百G,一般机房或CDN节点都是扛不住的,脚本也无能为力了,赶紧换高防服务器吧!https://www.113p.cn/421.html

    fail2ban
    113资讯网
    7 声望0 粉丝
    « 上一篇
    我是怎么接触linux的
    下一篇 »
    Nginx搭建负载均衡集群

    引用和评论

    推荐阅读
    头像
    「紧急通知」宝塔面板漏洞 linux正式版7.4.2

    113资讯网1阅读 3.7k评论 1

    0 条评论
    得票最新