因?yàn)楹蠖送瑢W(xué)的失誤,有個(gè)獲取短信驗(yàn)證碼接口沒(méi)有做二次驗(yàn)證。導(dǎo)致被人攻擊。損失幾萬(wàn)條短信。
附nginx access日志。tomcat 服務(wù)。
請(qǐng)問(wèn)各位,如何判斷攻擊者是用肉雞攻擊,還是單機(jī)用代理IP進(jìn)行攻擊?如何查看攻擊者真實(shí)IP。
沒(méi)有列出來(lái)nginx的日志格式,猜測(cè)日志里的ip字段取得是$remote_addr?這樣拿的是跟你這臺(tái)nginx直接連接的遠(yuǎn)端的地址,從日志看有重復(fù)的ip,如果你們對(duì)于ip的限制不合理的話,可能是本地架了個(gè)代理,不斷偽造客戶端ip來(lái)連接的。
具體你的架構(gòu)沒(méi)有給出來(lái),無(wú)法分析,你們的nginx前面是否有其他nginx做代理?例如阿里云?如果有,分析ip來(lái)源要結(jié)合$remote_addr和$http_x_forwarded_for,尤其是第二個(gè)字段。打個(gè)比方,如果你們的nginx位于阿里負(fù)載均衡之后,在你們的nginx日志中$http_x_forwarded_for字段取值為“”A,B,C”,那么只能確定跟阿里直接建立連接的客戶端ip是C,同時(shí)你的日志里$remote_addr也是C,這個(gè)值是偽造不了的;同時(shí)真正客戶端的地址理論上是A,為什么說(shuō)理論上,因?yàn)檫@個(gè)值是可以被篡改的,自己本地架個(gè)代理就可以篡改。比如C是攻擊者架的代理,那么理論上可以不斷的修改A和B的值來(lái)規(guī)避一些ip限制。因此在實(shí)際應(yīng)用中,對(duì)于IP的限制一定要明確自己的需求場(chǎng)景,知道怎么取IP來(lái)進(jìn)行限制。
回到你的問(wèn)題,從你給的日志看不出來(lái)攻擊者的真實(shí)IP,只是猜測(cè),因?yàn)槟銈兊膇p限制不是很合理,攻擊者連代理池都沒(méi)用,直接本地架了代理來(lái)刷。
有問(wèn)題歡迎進(jìn)一步討論。
北大青鳥APTECH成立于1999年。依托北京大學(xué)優(yōu)質(zhì)雄厚的教育資源和背景,秉承“教育改變生活”的發(fā)展理念,致力于培養(yǎng)中國(guó)IT技能型緊缺人才,是大數(shù)據(jù)專業(yè)的國(guó)家
北大青鳥中博軟件學(xué)院創(chuàng)立于2003年,作為華東區(qū)著名互聯(lián)網(wǎng)學(xué)院和江蘇省首批服務(wù)外包人才培訓(xùn)基地,中博成功培育了近30000名軟件工程師走向高薪崗位,合作企業(yè)超4
中公教育集團(tuán)創(chuàng)建于1999年,經(jīng)過(guò)二十年潛心發(fā)展,已由一家北大畢業(yè)生自主創(chuàng)業(yè)的信息技術(shù)與教育服務(wù)機(jī)構(gòu),發(fā)展為教育服務(wù)業(yè)的綜合性企業(yè)集團(tuán),成為集合面授教學(xué)培訓(xùn)、網(wǎng)
達(dá)內(nèi)教育集團(tuán)成立于2002年,是一家由留學(xué)海歸創(chuàng)辦的高端職業(yè)教育培訓(xùn)機(jī)構(gòu),是中國(guó)一站式人才培養(yǎng)平臺(tái)、一站式人才輸送平臺(tái)。2014年4月3日在美國(guó)成功上市,融資1
曾工作于聯(lián)想擔(dān)任系統(tǒng)開發(fā)工程師,曾在博彥科技股份有限公司擔(dān)任項(xiàng)目經(jīng)理從事移動(dòng)互聯(lián)網(wǎng)管理及研發(fā)工作,曾創(chuàng)辦藍(lán)懿科技有限責(zé)任公司從事總經(jīng)理職務(wù)負(fù)責(zé)iOS教學(xué)及管理工作。
浪潮集團(tuán)項(xiàng)目經(jīng)理。精通Java與.NET 技術(shù), 熟練的跨平臺(tái)面向?qū)ο箝_發(fā)經(jīng)驗(yàn),技術(shù)功底深厚。 授課風(fēng)格 授課風(fēng)格清新自然、條理清晰、主次分明、重點(diǎn)難點(diǎn)突出、引人入勝。
精通HTML5和CSS3;Javascript及主流js庫(kù),具有快速界面開發(fā)的能力,對(duì)瀏覽器兼容性、前端性能優(yōu)化等有深入理解。精通網(wǎng)頁(yè)制作和網(wǎng)頁(yè)游戲開發(fā)。
具有10 年的Java 企業(yè)應(yīng)用開發(fā)經(jīng)驗(yàn)。曾經(jīng)歷任德國(guó)Software AG 技術(shù)顧問(wèn),美國(guó)Dachieve 系統(tǒng)架構(gòu)師,美國(guó)AngelEngineers Inc. 系統(tǒng)架構(gòu)師。