跳到主要内容
We are Brand SEO Beijing serving international business, your marketing partner,Contact us by mi@mgsh.com.cn

教你一招使用防火墙屏蔽UA(User Agent)网络攻击

前些时日,有人恶意攻击本网站和服务器,开始时节奏较缓慢,重启下服务器即可,后来可不得了,进入服务器后台都无法进,只能停止网站,一启动运行网站,服务器秒蹦,然后,重启服务器第一件事就是停止网站,查看日志,发现服务器的数据库被频繁调用、网络层数据满载、应用层调用CPU和内容也满载的原因是有人利用本网站的Wordpress 搜索功能,频繁执行搜索,有多频繁呢,大致计算每秒几千上万个请求进来吧,不秒蹦才怪。

MGSH-1-Ali-被攻击屏幕截图 2022-08-27 182211

事情发生的结点很有意义,先对服务器进行了各种补丁修复,没能解决问题,怀疑是阿里服务器被攻击没防住部分转移到该服务器上了,打电话问阿里是不是有这种可能,于是增加了阿里防火墙,开始变的稳定了,又问阿里怎么加了防火墙就没啥事了,却看不到攻击数据,得,这确实说不过去了,于是又开始不稳定,然后还是看不到数据。

后来发现阿里防火前基础版费用一年下来也不低,也挡不住攻击,如果按照其高端套餐下来,这一年费用可不少。于是,选择了宝塔面板的企业级/专业级宝塔防火墙。虽然配置上没有人帮忙(或得花钱),毕竟工具可以使用。基于问题的复杂性,找人帮忙也只能在复杂问题中获得部分帮助,于是米国生活自己来研究问题,解决问题,本文从UA说起。

UA User Agent定义

用户代理(User Agent,简称 UA),是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

网络攻击UA分析

从IP统计上来看,大量的IP来自郑州,且郑州电信、郑州联通,以及北京移动。之前的IP封掉之后,近期又新增了陕西阿里云等。

网络攻击IP 2022-09-09 195118网络攻击IP2 2022-09-09 195118

来自阿里云IP搜索攻击-2022-09-09 200643

阿里云IP攻击详情 2022-09-09 200722

URL源码2022-09-09 200859

URL解码 2022-09-09 200931

左青龙,右白虎,心不正,业不勤,以看上去是在做推广的方式,实际上在实施纯粹攻击的目的。

UA数据下载

通过宝塔面板可以购买专业企业版防火墙,根据系列工具分析下载Excel表格,会用到Excel综合排序、筛选、删除重复数据、条件格式-重复数据飘红等功能,进行UA数据的详细分析。

Linux Android 5 2022-09-09 202712

UA正则表达式

在进行http协议批量数据处理的过程中,正则表达式是经常用到的一个工具,在国外有很多成熟的网站工具,国内在正则表达式使用上,确实很难在身边、平台等找到精通正则表达式的人才,实为遗憾,下面米国生活将通过自己的实战和学习分享UA的正则表达式的用法,可用于防火墙配置。

UA值:

Mozilla/5.0 (Linux; Android 5.0; SM-G900P Build/LRX21T) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Mobile Safari/537.36

以上UA使用正则表达式精准匹配为:

^Mozilla\/5\.0.\(Linux\;.Android.5\.0\;.SM\-G900P.Build\/LRX21T\).AppleWebKit\/537\.36\ (KHTML\,.like.Gecko\).Chrome\/92\.0\.4515\.159.Mobile.Safari\/537\.36

用法说明:

先把输入法切换为英文半角状态,这玩意是西方老美研发并制定的规则,为了更准确的理解,以下说明不加标点符号

^表示正则表达式要开始了的字符

\表示转义字符 每一个符号字符前都要用\进行转义才能保持原来的属性

.表示一个字符位置 原字符中的.字符需要用\进行转义 转义后的格式为\. 而原字符串中的空格需要用.替换 表示是一个字符 如果不用.替换 或许要其他正则表达式的符号进行表示 不建议初学者使用太多方式 以上方式简单且准确

精准匹配的含义,就是完全匹配,一个字符不差,就是只针对此UA进行正则正则表达式进行转换,差一个字符都不生效。就好比米国生活做的品牌营销的精准营销服务一样,对品牌词进行优化,只提高品牌词的美誉度和品牌声量。

以上UA使用正则表达式模糊匹配为:

^Mozilla\/5\.0.\(Linux\;.Android.5\.0\;.*Chrome.*Safari\/537\.36

其中.*表示任意匹配任何字符,任意匹配任何次数,模糊匹配表达的是Mozilla 5.0 使用Linux 安卓 5.0 Chrome浏览器 苹果Safari 537 36版本内核的,这样范围就宽了许多,现在安卓已经不是5.0这么低了,另外安卓使用苹果浏览器在普通用户来看,几乎无法实现,只有技术操作、假数据才能实现,所以,屏蔽此技术攻击并不影响真实用户访问网站。

以上说明已经很清楚的表达了如何使用正则表达式对UA进行使用,不再举例,米国生活官网仍在受着攻击,避免攻击者发现此预防方法,持续改变数据,导致让米国生活不停地修改防护策略,这种PK,没有意义,劳民伤财。

模糊匹配在米国生活网络营销、品牌营销方案中,属于公域营销范围,就是在一个更大的范围内筛选自己的客户。

米国生活舆情影响的方式

其他防护方式

除了使用防火墙对User Agent进行屏蔽外,还需要使用多种方法进行综合的防护,如,IP、URL、POST、GET、URI、Cookies、Header等,诸如米国生活官网开始仅仅是来自郑州的IP猛烈攻击,限制郑州IP之后,同样的攻击方式又转移到了其他地区IP,这时候对方攻击是主动的,如果不用UA等其他方式限制,只做IP防护是不够的。

看吧,当网站被攻击瘫痪之后,人家工程师要你几万块钱恢复网站,不贵吧,这得多少技术知识储备才能搞定这个事啊,然而米国生活10万不要,尽管这些钱对网站业务损失来说是小事,5万不要,第一次来到米国生活官网的在屏幕上扣”1″,一定会有新访客优惠给到大家的,3万不要,这么多的知识、这么多的技能、这么多的工作量,用卡车拉倒你那运费也不止3万吧,还想要优惠的,在屏幕上打”想要”,2万9不要,拉倒你那你消化也得一个团队一起消化个个把月吧,米国生活今天要给新粉优惠到家,记得点上面的关注,米国生活也不傻,你关注不关注我能后台看的到,现在就下单,优惠到家,想要优惠到家的,在屏幕上打”家”!马上就上链接…把米国生活最好的优惠给到网站上的宝宝们。

我把自己逗乐了…

米国生活总是在主播说出最终价格的时候,一分不差的提前刷屏,气的主播牙痒痒…

然而,在套路面前,以及在识别套路之后,总有做局者对米国生活坦诚,“米国生活早知道了”,米国生活不再揭发,但仍然认为那样不好,也不方便打假,全都是套路,到死打不完。

我把自己弄哭了…

哭的没声音,也没有眼泪,保存本文的时候,貌似被劫持的状态,进入了提醒丢失的页面,没保存上,点了返回键,想回到编辑状态,发现是没有保存的编辑状态,测试文字再点保存按钮,又丢失,但是发现在丢失页面再点刷新就可以提交,这么多字啊,我打了两遍…

是谁要劫持我的工作么,我知道像我这么头脑简单、胸部发达的人,总另人心生歹念,有谁不想劫呢?我把双手放在胸部位置,只听撕拉一声,衣服破了一道长长的裂痕,来吧,来劫我吧,得,又没忍住把自己逗乐了…

用《大话西游》至尊宝对春三十娘的话说,来啊,捅我啊,我右手手掌锋刃在胸口笔画了一下,向你使了了个激励你的眼色,来啊,把我的心挖出来,我也想看看…

能不能等我发完文章再劫啊,不是有xmlrpc么,我这么主动,都已经撕拉一声了,先验货嘛,货色还可以再劫,不行就放过人家。

返回顶部