极客观点
项目管理
HarmonyOS
因为后端同学的失误,有个获取短信验证码接口没有做二次验证。导致被人攻击。损失几万条短信。
附nginx access日志。tomcat 服务。
请问各位,如何判断攻击者是用肉鸡攻击,还是单机用代理IP进行攻击?如何查看攻击者真实IP。
java
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
小网站有必要将图片放到阿里云OSS存储吗?
网站有涉及到图片的请求,买了阿里云服务,我想将图片放在云服务上的某个目录下,然后通过nginx代理请求图片资源,不知道这么做是否可行?还是说需要将图片放在OSS上存储,但是OSS需要收费?哪个方案更好一些?15 回答8.4k 阅读
Spring中的两个疑惑?
使用注解的写法是否违背了Spring诞生的初衷?看了很多Spring教程,在讲述为什么要使用Spring的时候,都提出了一个很重要的原因就是,以前的8 回答6.2k 阅读
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4k 阅读✓ 已解决
Java实例变量默认值赋值时机是什么时候?
实例变量在什么时候会被赋默认值例如int赋0, boolea赋false。 {代码...} 我希望从JVM的角度出发,有相应的证明或者资料证明吗?3 回答2.2k 阅读✓ 已解决
java连redis-sentinel连不上,接下来如何排查?
java连redis-sentinel连不上Java连接redis-sentinel连不上redis-sentinel是在k3s上部署的,使用helm部署的用命令行查看一切正常但是使用java连接报错,详细信息如下环境准备因为java的pod里面是没有redis的,所以下载一个redis-cli,然后拷贝的pod里面,再用命令行连接 {代码...} 安装redis到pod中 {代码...} 直接连接主节点...2 回答3.1k 阅读
Docker 构建 Nginx 镜像时如何增加 stub_status 模块?
Docker 启动 Nginx 容器,如何增加拓展模块 ngx_http_stub_status_module?如何在 Dockerfile 中构建包含此模块的 Nginx 镜像,我的目的是启动对 Nginx 的监控。2 回答2.4k 阅读✓ 已解决
请问,低代码中,DSL和DSL2CODE是否有公共语言的实现呢?
低代码中,有DSL DSL2CODE 的概念。现在有2个问题:1、DSL是在高级编程语言(C, Java, Python, JavaScript, TypeScript等)都可以共用一套DSL是吗?2 回答3.8k 阅读
没有列出来nginx的日志格式,猜测日志里的ip字段取得是$remote_addr?这样拿的是跟你这台nginx直接连接的远端的地址,从日志看有重复的ip,如果你们对于ip的限制不合理的话,可能是本地架了个代理,不断伪造客户端ip来连接的。
具体你的架构没有给出来,无法分析,你们的nginx前面是否有其他nginx做代理?例如阿里云?如果有,分析ip来源要结合$remote_addr和$http_x_forwarded_for,尤其是第二个字段。打个比方,如果你们的nginx位于阿里负载均衡之后,在你们的nginx日志中$http_x_forwarded_for字段取值为“”A,B,C”,那么只能确定跟阿里直接建立连接的客户端ip是C,同时你的日志里$remote_addr也是C,这个值是伪造不了的;同时真正客户端的地址理论上是A,为什么说理论上,因为这个值是可以被篡改的,自己本地架个代理就可以篡改。比如C是攻击者架的代理,那么理论上可以不断的修改A和B的值来规避一些ip限制。因此在实际应用中,对于IP的限制一定要明确自己的需求场景,知道怎么取IP来进行限制。
回到你的问题,从你给的日志看不出来攻击者的真实IP,只是猜测,因为你们的ip限制不是很合理,攻击者连代理池都没用,直接本地架了代理来刷。
有问题欢迎进一步讨论。