前些时日,有人恶意攻击本网站和服务器,开始时节奏较缓慢,重启下服务器即可,后来可不得了,进入服务器后台都无法进,只能停止网站,一启动运行网站,服务器秒蹦,然后,重启服务器第一件事就是停止网站,查看日志,发现服务器的数据库被频繁调用、网络层数据满载、应用层调用CPU和内容也满载的原因是有人利用本网站的Wordpress 搜索功能,频繁执行搜索,有多频繁呢,大致计算每秒几千上万个请求进来吧,不秒蹦才怪。
本文目录
1 UA User Agent定义
2 网络攻击UA分析
3 UA数据下载
4 UA正则表达式
4.1 UA使用正则表达式精准匹配:
4.2 UA使用正则表达式模糊匹配:
5 其他防护方式
被攻击的服务器状态
事情发生的结点很有意义,先对服务器进行了各种补丁修复,没能解决问题,怀疑是阿里服务器被攻击没防住部分转移到该服务器上了,打电话问阿里是不是有这种可能,于是增加了阿里防火墙,开始变的稳定了,又问阿里怎么加了防火墙就没啥事了,却看不到攻击数据,得,这确实说不过去了,于是又开始不稳定,然后还是看不到数据。
宝塔
UA User Agent定义
用户代理(User Agent,简称 UA),是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
网络攻击UA分析
从IP统计上来看,大量的IP来自郑州,且郑州电信、郑州联通,以及北京移动。之前的IP封掉之后,近期又新增了陕西阿里云等。
监控来访IP
大量来自某一地区
查询当日阿里云异常IP日志发现仍是/?s=搜索访问消耗服务器
左青龙,右白虎,心不正,业不勤,以看上去是在做推广的方式,实际上在实施纯粹攻击的目的。
UA数据下载
通过宝塔面板可以购买专业企业版防火墙,根据系列工具分析下载Excel表格,会用到Excel综合排序、筛选、删除重复数据、条件格式-重复数据飘红等功能,进行UA数据的详细分析。
通过宝塔企业/专业工具下载的Excel
UA正则表达式
在进行http协议批量数据处理的过程中,正则表达式是经常用到的一个工具,在国外有很多成熟的网站工具,国内在正则表达式使用上,确实很难在身边、平台等找到精通正则表达式的人才,实为遗憾,下面米国生活将通过自己的实战和学习分享UA的正则表达式的用法,可用于防火墙配置。
UA值:
Mozilla/5.0 (Linux; Android 5.0; SM-G900P Build/LRX21T) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Mobile Safari/537.36
以上UA使用正则表达式精准匹配为:
^Mozilla\/5\.0.\(Linux\;.Android.5\.0\;.SM\-G900P.Build\/LRX21T\).AppleWebKit\/537\.36\ (KHTML\,.like.Gecko\).Chrome\/92\.0\.4515\.159.Mobile.Safari\/537\.36
用法说明:
先把输入法切换为英文半角状态,这玩意是西方老美研发并制定的规则,为了更准确的理解,以下说明不加标点符号
^表示正则表达式要开始了的字符
\表示转义字符 每一个符号字符前都要用\进行转义才能保持原来的属性
正则表达式
对品牌词进行优化
以上UA使用正则表达式模糊匹配为:
^Mozilla\/5\.0.\(Linux\;.Android.5\.0\;.*Chrome.*Safari\/537\.36
其中.*表示任意匹配任何字符,任意匹配任何次数,模糊匹配表达的是Mozilla 5.0 使用Linux 安卓 5.0 Chrome浏览器 苹果Safari 537 36版本内核的,这样范围就宽了许多,现在安卓已经不是5.0这么低了,另外安卓使用苹果浏览器在普通用户来看,几乎无法实现,只有技术操作、假数据才能实现,所以,屏蔽此技术攻击并不影响真实用户访问网站。
以上说明已经很清楚的表达了如何使用正则表达式对UA进行使用,不再举例,米国生活官网仍在受着攻击,避免攻击者发现此预防方法,持续改变数据,导致让米国生活不停地修改防护策略,这种PK,没有意义,劳民伤财。
模糊匹配在米国生活网络营销、品牌营销方案中,属于公域营销范围,就是在一个更大的范围内筛选自己的客户。
其他防护方式
除了使用防火墙对User Agent进行屏蔽外,还需要使用多种方法进行综合的防护,如,IP、URL、POST、GET、URI、Cookies、Header等,诸如米国生活官网开始仅仅是来自郑州的IP猛烈攻击,限制郑州IP之后,同样的攻击方式又转移到了其他地区IP,这时候对方攻击是主动的,如果不用UA等其他方式限制,只做IP防护是不够的。