1. 問題
自家的APP上線已經有一段時間了,突然有一天發現線上產品居然不能發送驗證碼。
登錄第三方短信驗證碼服務後臺,發現問題很嚴重。
| 3 | youbiquan | 15797 | 2015-12-25 |
| 4 | youbiquan | 57 | 2015-12-23 |
| 5 | youbiquan | 49 | 2015-12-22 |
| 6 | youbiquan | 54 | 2015-12-21 |
| 7 | youbiquan | 64 | 2015-12-20 |
發現幾天前,短信服務居然發出去15000多條短信出去,直接把服務費刷光了。
要找原因就只能找 Nignx 的日誌了。
日誌中,發現大量的對短信接口的訪問,並且在我查看時候,日誌依然在瘋狂的追加,是典型的ddos攻擊了。當然最核心的內容還是對短信接口的瘋狂訪問量
221.178.182.21 - - [05/Jan/2016:16:19:25 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.3; XM50h Build/19.1.1.C.1.2)" "-"
171.82.225.66 - - [05/Jan/2016:16:19:32 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.4; 2014812 MIUI/V6.6.3.0.KHJCNCF)" "-"
171.82.225.66 - - [05/Jan/2016:16:19:32 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.4.4; 2014812 MIUI/V6.6.3.0.KHJCNCF)" "-"
110.89.16.13 - - [05/Jan/2016:16:19:49 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"
110.89.16.13 - - [05/Jan/2016:16:19:49 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"
118.114.160.200 - - [05/Jan/2016:16:21:26 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
118.114.160.200 - - [05/Jan/2016:16:21:39 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
119.122.0.136 - - [05/Jan/2016:16:21:41 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"
118.114.160.200 - - [05/Jan/2016:16:21:51 +0800] "POST /myinterface?showType=smsAuthcode HTTP/1.1" 200 161 "-" "Mozilla/5.0" "-"2. 臨時方案
在搞清楚問題之前,首先想到的是,先把短信服務停掉,讓攻擊者不能訪問服務,但是又不能將服務器關掉,畢竟線上用戶還在使用。
所以先用nginx把這個接口rewrite了。
if ( $request_uri ~* "showType=smsAuthcode" )
{
rewrite ^/ http://www.baidu.com/;
}當然配置方法可能有好多,這裏只是提供一個解決問題的思路,具體配置還可以參考更專業的nginx配置的資料。
首先給百度抱歉,把攻擊請求轉發給百度了。其實隨便return一個值就好了,例如200.
3. 基於log分析的方案
當然問題這樣,並不能算解決,線上用戶也不能註冊新用戶了。
我首先想到的方案還是對IP訪問限制,分析了一下log,有的ip攻擊次數到達幾千次,當然也有的ip只有幾次訪問。對於訪問幾次的ip,其實沒有辦法確定是真用戶還是攻擊機器的IP。 在網上找了一個可以讓某個接口,在一定時間內,限制ip訪問次數的方案。
iptables -A INPUT -p tcp --dport 80 -d xx.xx.xx.xx -m string --string "/myinterface?showType=smsAuthcode" --algo kmp -m recent --name httpuser --set
iptables -A INPUT -m recent --update --name httpuser --seconds 86400 --hitcount 4 -j LOG --log-level 5 --log-prefix 'HTTP attack: '
iptables -A INPUT -m string --string "/myinterface?showType=smsAuthcode" --algo kmp -m recent --update --name httpuser --seconds 86400 --hitcount 10 -j REJECT 基本的含義,就是對訪問的請求進行字符串匹配,如果發現有對短信接口的訪問,就使用recent模塊記錄下來訪問,如果在一天中訪問超過4次,就不讓再訪問短信接口。
其實也是有一定效果的方案
| 序號 | 賬號 | 數量(條) | 日期 |
|---|---|---|---|
| 2 | youbiquan | 540 | 2016-01-08 |
| 3 | youbiquan | 2857 | 2016-01-04 |
| 4 | youbiquan | 388 | 2016-01-05 |
| 5 | youbiquan | 2469 | 2016-01-06 |
雖然採用基於ip地址的防範,有點效果,但是依然沒有根本防住的,我們平時一天也就發50條左右,IP防火牆設置後,依然每天有幾千條。分析後發現,這個攻擊使用的IP地址是在太多了,所以感覺用IP地址防根本沒有希望。
某一天,一籌莫展的時候,我又打開nginx訪問日誌,突然發現攻擊的行爲的 user-agent都好短,和其他訪問的user-agent有明顯差別。
似乎攻擊者的user-agen都是“Mozila/5.0“,然後就沒有了,而其他的訪問,會有更多信息,包括系統版本,瀏覽器等。
按照這樣的猜想,我去用程序分析user-agent,果然只有訪問短信接口的UA中存在很短的 “Mozila/5.0“, 其他訪問不存在這個UA,但是還有一些不短的UA
Dalvik/1.6.0 (Linux; U; Android 4.2.2; R827T Build/JDQ39)" "-"於是在nginx的配置裏,加了下面幾段代碼
if ($http_user_agent = "Mozilla/5.0") {
return 503;
}
if ($http_user_agent ~* "Dalvik/1.6.0") {
return 503;
}
第一段就是嚴格匹配 Mozila/5.0 第二段的意思以 Dalvik開頭的UA,就是虛擬機的UA。
果然在採用這個方式防範以後,瞬間有了明顯效果。
| 2 | youbiquan | 57 | 2016-01-09 |
按照新方法,從新防範後,短信發送的條數,直接回到之前的正常水平,自己用了幾個手機測試了一下,也是OK的。
不過也不能高興的太早,似乎攻擊者也很容易僞造UA,想要完全解決DDOS,還要更多學習科學文化知識才行~
原文鏈接 http://sunrising.me/?p=67