DDoS का मुकाबला करने के लिए Nginx मॉड्यूल

कई लोगों ने HTTP बाढ़ पद्धति का उपयोग करके DDoS हमले के रूप में इस तरह की घटना का सामना किया है। नहीं, यह nginx को कॉन्फ़िगर करने पर एक और ट्यूटोरियल नहीं है, मैं अपने मॉड्यूल को पेश करना चाहता हूं जो L7 DDoS हमलों के दौरान बॉट और बैकएंड के बीच त्वरित फ़िल्टर के रूप में काम करता है और आपको जंक अनुरोधों को फ़िल्टर करने की अनुमति देता है।

मॉड्यूल कर सकते हैं

• कुकी-कुकी HTTP हेडर के माध्यम से कुकीज़ को मानक तरीके से सेट करें। कुकीज़ सेट करने के बाद, प्रतिक्रिया कोड 301 और स्थान हेडर का उपयोग करके उपयोगकर्ता को (प्राप्त कुकीज़ प्राप्त करने के लिए मजबूर करने के लिए) रीडायरेक्ट करें
• कुकीज़ सेट करने के बाद, उपयोगकर्ता को रीडायरेक्ट कोड 200 और एचटीएमएल मेटा टैग “नया” का उपयोग करके उपयोगकर्ता को (हमें प्राप्त कुकीज़ भेजने के लिए मजबूर करें) करें।
• कुकीज़ सेट करने के प्रयासों की संख्या की गणना करें और असफल प्रयासों की अधिकतम संख्या से अधिक होने के बाद उपयोगकर्ता को निर्दिष्ट URL पर भेजें
• फ़िल्टर प्रतिक्रिया के लिए कस्टम टेम्पलेट का उपयोग करें, जिसमें आप कुछ भी कर सकते हैं (उदाहरण के लिए, जावास्क्रिप्ट के माध्यम से कुकीज़ सेट करें)
• जावास्क्रिप्ट को निष्पादित करने के उद्देश्य से उत्तर के स्वचालित पार्सिंग को रोकने के लिए, ग्राहक पक्ष पर जावास्क्रिप्ट के माध्यम से आगे डिक्रिप्शन के साथ एक सममित क्रिप्टो एल्गोरिथ्म के साथ टेम्पलेट में चर के मूल्य को एन्क्रिप्ट करें ( स्लोअवे का उपयोग करके )
• श्वेतसूची के सेट नेटवर्क (उदाहरण के लिए, वे नेटवर्क जिनमें खोज रोबोट रहते हैं)
• DoS हमले के दौरान उपयोगी कुछ छोटे टुकड़े।

सक्षम नहीं है

• मॉड्यूल केवल क्लाइंट को निर्दिष्ट उत्तर देता है, आपको क्लाइंट को ब्लॉक करने पर निर्णय लेना चाहिए (उदाहरण के लिए, विफलता 2ban का उपयोग करके) स्वयं
• कोई कहेगा - "मैं जावास्क्रिप्ट का अनुकरण करता हूं", लेकिन हम यथार्थवादी बनें - DoS अक्सर पूर्ण अनुकरण के साथ बॉट्स का उपयोग करते हैं? उन्हें मेरे पास भेजो, हम बिटकॉइन माइन करेंगे
• कैप्चा और फ्लैश के बारे में प्रलेखन में कुछ भी नहीं है - यदि आपको ज़रूरत है, तो आप उन्हें स्वयं पेंच कर सकते हैं, आपको बस कॉन्फ़िगर करते समय कल्पना दिखाने की आवश्यकता है
• यह मॉड्यूल एक रामबाण नहीं है - यह सुरक्षात्मक उपायों के एक सेट में सिर्फ एक छोटा घटक है, एक उपकरण जो सही तरीके से उपयोग किए जाने पर मदद कर सकता है।

यह कैसे काम करता है

सबसे अधिक बार, HTTP बाढ़ को लागू करने वाले बॉट बहुत गूंगे होते हैं और HTTP कुकी और पुनर्निर्देशन तंत्र नहीं होते हैं। कभी-कभी अधिक उन्नत व्यक्ति सामने आते हैं - ये कुकीज़ का उपयोग कर सकते हैं और पुनर्निर्देशन को संभाल सकते हैं, लेकिन लगभग कभी भी डीओएस बॉट पूर्ण-जावास्क्रिप्ट जावास्क्रिप्ट इंजन नहीं ले जाता है।
यह समझने के लिए कि फ़िल्टर कैसे काम करता है, नीचे हमले के परिदृश्य के आधार पर क्लाइंट-सर्वर संचार का प्रवाह है।

1. बॉट्स रीडायरेक्ट और कुकीज़ को नहीं समझते हैं
   
   
2. बॉट पुनर्निर्देश और कुकीज़ को समझते हैं, लेकिन जावास्क्रिप्ट को नहीं जानते हैं
   
   

बुनियादी हमले परिदृश्यों के लिए कॉन्फ़िगरेशन उदाहरण

• बॉट्स पुनर्निर्देश और कुकीज़ (विशिष्ट मामले) को नहीं समझते हैं

  server { listen 80; server_name domain.com; testcookie off; testcookie_name BPC; testcookie_secret keepmescret; testcookie_session $remote_addr; testcookie_arg attempt; testcookie_max_attempts 3; testcookie_fallback /cookies.html?backurl=http://$host$request_uri; testcookie_get_only on; location = /cookies.html { root /var/www/public_html; } location / { testcookie on; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8080; } } 

• बॉट पुनर्निर्देश और कुकीज़ को समझते हैं

   server { listen 80; server_name domain.com; testcookie off; testcookie_name BPC; testcookie_secret keepmescret; testcookie_session $remote_addr; testcookie_arg attempt; testcookie_max_attempts 3; testcookie_fallback /cookies.html?backurl=http://$host$request_uri; testcookie_get_only on; testcookie_redirect_via_refresh on; testcookie_refresh_template '<html><body><script>document.cookie="BPC=$testcookie_set";document.location.href="$testcookie_nexturl";</script></body></html>'; location = /cookies.html { root /var/www/public_html; } location / { testcookie on; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8080; } } 

• संरक्षित URL लोकप्रिय साइट पर iframe में डाला गया

   server { listen 80; server_name domain.com; testcookie off; testcookie_name BPC; testcookie_secret keepmescret; testcookie_session $remote_addr; testcookie_arg attempt; testcookie_max_attempts 3; testcookie_fallback /cookies.html?backurl=http://$host$request_uri; testcookie_get_only on; testcookie_redirect_via_refresh on; testcookie_refresh_template '<html><body><script>function bla() { document.cookie="BPC=$testcookie_set";document.location.href="$testcookie_nexturl";}</script><input type="submit" value="click me" onclick="bla();"></body></html>'; location = /cookies.html { root /var/www/public_html; } location / { testcookie on; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8080; } } 

• बॉट्स ने रीजेक्सपी के जरिए कुकीज़ प्राप्त करना सीखा

   server { listen 80; server_name domain.com; testcookie off; testcookie_name BPC; testcookie_secret keepmescret; testcookie_session $remote_addr; testcookie_arg attempt; testcookie_max_attempts 3; testcookie_fallback /cookies.html?backurl=http://$host$request_uri; testcookie_get_only on; testcookie_redirect_via_refresh on; testcookie_refresh_encrypt_cookie on; testcookie_refresh_encrypt_cookie_key random; testcookie_refresh_encrypt_cookie_iv random; testcookie_refresh_template '<html><body>setting cookie...<script type=\"text/javascript\" src=\"/aes.min.js\" ></script><script>function toNumbers(d){var e=[];d.replace(/(..)/g,function(d){e.push(parseInt(d,16))});return e}function toHex(){for(var d=[],d=1==arguments.length&&arguments[0].constructor==Array?arguments[0]:arguments,e="",f=0;f<d.length;f++)e+=(16>d[f]?"0":"")+d[f].toString(16);return e.toLowerCase()}var a=toNumbers("$testcookie_enc_key"),b=toNumbers("$testcookie_enc_iv"),c=toNumbers("$testcookie_enc_set");document.cookie="BPC="+toHex(slowAES.decrypt(c,2,a,b))+"; expires=Thu, 31-Dec-37 23:55:55 GMT; path=/";document.location.href="$testcookie_nexturl";</script></body></html>'; location = /aes.min.js { gzip on; gzip_min_length 1000; gzip_types text/plain; root /var/www/public_html; } location = /cookies.html { root /var/www/public_html; } location / { testcookie on; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8080; } } 

• बोट्स ने regexp के माध्यम से पैरामीटर खींचना सीखा और कुकीज़ के मूल्य को डिक्रिप्ट किया (मुझे संदेह है कि कोई परेशान करेगा)

   server { listen 80; server_name domain.com; testcookie off; testcookie_name BPC; testcookie_secret keepmescret; testcookie_session $remote_addr; testcookie_arg attempt; testcookie_max_attempts 3; testcookie_fallback /cookies.html?backurl=http://$host$request_uri; testcookie_get_only on; testcookie_redirect_via_refresh on; testcookie_refresh_encrypt_cookie on; testcookie_refresh_encrypt_cookie_key deadbeefdeadbeefdeadbeefdeadbeef; #   testcookie_refresh_encrypt_cookie_iv deadbeefdeadbeefdeadbeefdeadbeef; #   testcookie_refresh_template '<html><body>setting cookie...<script type=\"text/javascript\" src=\"/aes.min.js\" ></script><script>function toNumbers(d){var e=[];d.replace(/(..)/g,function(d){e.push(parseInt(d,16))});return e}function toHex(){for(var d=[],d=1==arguments.length&&arguments[0].constructor==Array?arguments[0]:arguments,e="",f=0;f<d.length;f++)e+=(16>d[f]?"0":"")+d[f].toString(16);return e.toLowerCase()}var a=toNumbers({  JS     iv,   }),b=toNumbers({  JS     ,   }),c=toNumbers("$testcookie_enc_set");document.cookie="BPC="+toHex(slowAES.decrypt(c,2,a,b))+"; expires=Thu, 31-Dec-37 23:55:55 GMT; path=/";document.location.href="$testcookie_nexturl";</script></body></html>'; location = /aes.min.js { gzip on; gzip_min_length 1000; gzip_types text/plain; root /var/www/public_html; } location = /cookies.html { root /var/www/public_html; } location / { testcookie on; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8080; } } 

स्रोत कोड

इंस्टॉलेशन निर्देशों और प्रलेखन के साथ एक मॉड्यूल बीएसडी लाइसेंस के तहत जीथब पर उपलब्ध है।
पैच, ऐड-ऑन, परीक्षण और बग रिपोर्ट का स्वागत है।