Nginx禁止IP訪問只允許域名訪問及防盜鏈設(shè)置

更新時間：2023年10月18日 09:57:12 作者：psonh

我們在使用的時候會遇到很多的惡意IP攻擊,這個時候就要用到Nginx 禁止IP訪問了,本文主要介紹了Nginx禁止IP訪問只允許域名訪問及Nginx防盜鏈設(shè)置,具有一定的參考價值,感興趣的可以了解一下

一、Nginx 禁止IP訪問只允許域名訪問

1.1 背景及用途

我們在使用的時候會遇到很多的惡意IP攻擊，這個時候就要用到Nginx 禁止IP訪問了。今天要在Nginx上設(shè)置禁止通過IP訪問服務器，只能通過域名訪問，這樣做是為了避免別人把未備案的域名解析到自己的服務器IP而導致服務器被斷網(wǎng)。

1.2 設(shè)置方式

下面我們就先看看Nginx的默認虛擬主機在用戶通過IP訪問，或者通過未設(shè)置的域名訪問（比如有人把他自己的域名指向了你的ip）的時候生效最關(guān)鍵的一點是，在server的設(shè)置里面添加這一行：

listen 80 default;后面的default參數(shù)表示這個是默認虛擬主機。
Nginx 禁止IP訪問這個設(shè)置非常有用。

比如別人通過ip或者未知域名訪問你的網(wǎng)站的時候，你希望禁止顯示任何有效內(nèi)容，可以給他返回500或者403.目前國內(nèi)很多機房都要求網(wǎng)站主關(guān)閉空主機頭，防止未備案的域名指向過來造成麻煩。就可以這樣設(shè)置：

在nginx.conf文件修改如下：

server {
    listen 80 default;
    return 403;
}

這里是在接收到ip訪問或非指定域名訪問時會返回403錯誤。

也可以把這些流量收集起來，導入到自己的網(wǎng)站，只要做以下跳轉(zhuǎn)設(shè)置就可以：

server { 
  listen 80 default; 
  rewrite ^(.*) http://www.youdomain.com permanent; 
}

二、Nginx防盜鏈設(shè)置

2.1 背景及用途

盜鏈在如今的互聯(lián)網(wǎng)世界無處不在，盜圖，盜視頻、盜文章等等，都是通過獲取正規(guī)網(wǎng)站的圖片、視頻、文章等的 url 地址，直接放到自己網(wǎng)站上使用而未經(jīng)授權(quán)。盜資源是黑產(chǎn)界以最小成本獲取最高利益的一個常用手段。比如筆者最近考慮買房，在貝殼網(wǎng)上有房源的真是戶型圖以及VR。某些房產(chǎn)中介直接會盜用貝殼網(wǎng)上的真實戶型圖來騙取點擊。因此，對于任何一個大型網(wǎng)站而言，做好防盜措施，避免自身利益受損是至關(guān)重要的。Nginx 在代理這類靜態(tài)資源(圖片、視頻、文章等)時，可以通過配置實現(xiàn)防盜連的功能。

2.2 如何防盜鏈？

前面介紹到，盜鏈是直接使用正規(guī)網(wǎng)站保存圖片、視頻等的 URL 以獲取相應的資源。最簡單的防盜想法就是根據(jù)客戶端請求資源時所攜帶的一些關(guān)鍵信息來驗證請求的合法性，比如客戶端 IP、請求 URL 中攜帶的 referer，如果不合法則直接拒絕請求。此外，由于這些基礎(chǔ)信息都可以偽造，因此這樣的基礎(chǔ)手段也不一定安全。此外，還有登錄認證、使用 cookie 等其他防盜連手段。另外，針對特定場景，比如流媒體直播中還有更為高級的防盜手段包括時間戳防盜鏈、swf 防盜鏈、回源鑒權(quán)防盜鏈等。

2.3 refer模塊防盜

Nginx 用于實現(xiàn)防盜鏈功能的模塊為 refer 模塊,其依據(jù)的原理是: 如果網(wǎng)站盜用了你的圖片，那么用戶在點擊或者查看這個盜鏈內(nèi)容時，發(fā)送 http 請求的頭部中的 referer 字段將為該盜版網(wǎng)站的 url。這樣我們通過獲取這個頭部信息，知道 http 發(fā)起請求的頁面，然后判斷這個地址是否是我們的合法頁面，不是則判斷為盜鏈。‘

一個簡單的 Nginx 防盜鏈配置如下:

server {
        listen   80;
        server_name  youdomain.com;

        valid_referers none blocked *.youdomain.org www.youdomain.com/nginx server_names ~\.baidu\.;
        if ($invalid_referer) {
            return 499;
        }
        location / {
            root   html;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}

none: 允許缺失 referer 頭部的請求訪問
blocked: 有 referer 這個字段，但是其值被防火墻或者是代理給刪除了
server_names: 若 referer 中的站點域名和 server_names 中的某個域名匹配，則允許訪問
任意字符或者正則表達式

Nginx 會通過查看 referer 字段和 valid_referers 后面的 referer 列表進行匹配，如果匹配到了就將內(nèi)置的變量$invalid_referer值設(shè)置為0，否則設(shè)置該值為1

2.4 secure_link模塊防盜

前面這種簡單檢查 referer 頭部值的防盜鏈方法過于脆弱，盜用者很容易通過偽造 referer 的值輕而易舉跳過防盜措施。在 Nginx 中有一種更為高級的防盜方式，即基于 secure_link 模塊，該模塊能夠檢查請求鏈接的權(quán)限以及是否過期，多用于下載服務器防盜鏈。這個模塊默認未編譯進 Nginx，需要在源碼編譯時候使用 --with-secure_link_module 添加。

該模塊的通過驗證 URL 中的哈希值的方式防盜鏈。它的防盜過程如下：

由服務器或者 Nginx 生成安全的加密后的 URL, 返回給客戶端;
客戶端使用安全的 URL 訪問 Nginx，獲取圖片等資源，由 Nginx 的 secure_link 變量判斷是否驗證通過;

通過配置 secure_link, secure_link_md5 指令，可實現(xiàn)對鏈接進行權(quán)限以及過期檢查判斷的功能。

和 referer 模塊中的 $invalid_referer 變量一樣，secure_link 模塊也是通過內(nèi)置變量 KaTeX parse error: Expected ‘EOF’, got ‘判’ at position 14: secure_link 判斷驗證是否通過。secure_link 的值有如下三種情況：

空字符串: 驗證不通過
0: URL 過期
1: 驗證通過

用 secure_link_md5 指令生成生成合法的 URL 。例如:

secure_link_md5 "$secure_link_expires$uri$remote_addr secret";

如果 Nginx 中secure_link_md5 是上述配置，那么生成合法 url 的命令如下:

# 2023-04-19 17:00:00 轉(zhuǎn)換成時間戳為1681894800
echo -n '1681894800/test.png127.0.0.1 secret' | \
    openssl md5 -binary | openssl base64 | tr +/ -_ | tr -d =

通過上述命令，我們得到了一個 md5 值:cPnjBG9bAZvY_jbPOj13mA，這個非常重要。接下來，構(gòu)造合的 URL 和指令 secure_link 相關(guān)。如果 secure_link 指令的配置如下:

secure_link $arg_md5,$arg_expires;

那么我們的請求的 url 中必須帶上 md5 和 expires 參數(shù)，例如:

http://192.168.1.10:9008/test.png?md5=cPnjBG9bAZvY_jbPOj13mA&expires=1681894800?

對于 Nginx 中的校驗配置示例如下:

location ~* .(gif|jpg|png|swf|flv|mp4)$  {
    secure_link $arg_md5,$arg_expires;
    secure_link_md5 "$secure_link_expires$uri$remote_addr secret";
?
    # 空字符串，校驗不通過
    if ($secure_link = "") {
        return 403;
    }
    # 時間過期
    if ($secure_link = "0") {
        return 410 "URL過期，請重新生成";
    }
    root /root/test;
}

2.5 小結(jié)

一般的 Nginx 防盜鏈手段都是通過 referer 字段來判斷請求的來源地，由此去判定請求是否合法。但是該字段容易偽造，所以很少用該方法實現(xiàn)防盜功能。而Nginx 的 secure_link 模塊主要是使用 hash 算法加密方式，一般用于圖片、視頻下載，生成下載 URL，安全性高。此外，我們也可以使用一些第三方的模塊增強 Nginx 的防盜鏈功能，比如常用的第三放模塊 ngx_http_accesskey_module 可用于實現(xiàn)文件下載的防盜功能。

到此這篇關(guān)于Nginx禁止IP訪問只允許域名訪問及Nginx防盜鏈設(shè)置的文章就介紹到這了,更多相關(guān)Nginx禁止IP訪問及Nginx防盜鏈內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: