Как защититься от многочисленных POST запросов в nginx?

Question

Хикмат Абдунабиев @Khikmat

Как защититься от многочисленных POST запросов в nginx?

Здравствуйте!
Есть к примеру url "/sms-auth", там форма отправки для авторизации по СМС.
Нужен совет по обеспечению защиты этого urlа от отправки многочисленных POST запросов.
Можно-ли защитится методами nginx или надо на что нить другое смотреть?
Кто сталкивался с такими задачами? Что можете посоветовать?
Заранее большое спасибо за любую помощь.

Вопрос задан более трёх лет назад
260 просмотров

9 комментариев

Подписаться 2 Простой 9 комментариев

Алексей Уколов @alexey-m-ukolov

Какую проблему вы вообще пытаетесь решить? Вам спам летит на этот url? Или вы перебор кода хотите пресечь? Если второе, то это нужно на уровне приложения делать, а не веб-сервера.

Написано более трёх лет назад
Хикмат Абдунабиев @Khikmat Автор вопроса

Алексей Уколов, просто за каждый успешный submit формы уходит СМС, а так как каждый СМС снимается с баланса деньги хотелось бы по максимуму снизить вероятность отправки формы ботами или нечестными людьми.

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov

Для этого уже давно придумали специальный инструмент, называется captcha. В любом случае, такую защиту нужно делать на уровне приложения - проверять капчу, смотреть количество запросов с одного ip, просто количество запросов за последние N минут и т.п.

Написано более трёх лет назад
Хикмат Абдунабиев @Khikmat Автор вопроса

Алексей Уколов, спасибо за ответ с капчой. При анализе логов идет очень много POST запросов от ботов. Посмотрел модуль ngx_http_limit_req_module. Можно установить лимит на запрос по ip, но как быть тогда с клиентами которые находятся за NATом?

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov

Никак, именно поэтому я и говорю, что правильное решение этой задачи лежит вне конфига веб-сервера. Но если проблема стоит остро и нужен быстрый фикс, то можно и средствами nginx залататься. Как вы поняли, что это запросы от ботов - по ip, по заголовкам, по юзер-агенту? Вот это и используйте для фильтрации.

Написано более трёх лет назад
Хикмат Абдунабиев @Khikmat Автор вопроса

Алексей Уколов, на сегодня боты тоже поумнели что умеют предоставлять правильные заголовки и юзер-агенты. Значить будем вместе с программистами решать эту задачу. Спасибо большое за совет.

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov

Ну вот вы написали "при анализе логов идет очень много POST запросов от ботов" - вы как поняли, что это именно боты?

Написано более трёх лет назад
Хикмат Абдунабиев @Khikmat Автор вопроса

Алексей Уколов, Ну вероятность того что это бот, идет в секунды более сотни запросов с подозрительного айпи.

Написано более трёх лет назад
Roman Terekhin @RomaZveR

CSRF токены используете?

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Нетология

Системный администратор

11 месяцев

Далее
Skillfactory

DevOps-инженер

6 месяцев

Далее
Хекслет

DevOps-инженер с нуля

14 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 2

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Nginx

+2 ещё

Простой
Контейнер rabbitmq docker стартует раньше чем сервис nginx. Как указать согласованность запуска?
- 6 подписчиков
- 26 окт.
- 812 просмотров
4

ответа
Системное администрирование

+1 ещё

Простой
Какие нужны навыки начинающему junior сис админу и каков его карьерный рост?
- 6 подписчиков
- 23 окт.
- 929 просмотров
4

ответа
Компьютерные сети

+2 ещё

Простой
Возможно ли вывести изображение с ноутбука на три разных андроид телевизора внутри локальной сети(некий аналог anydesk)?
- 2 подписчика
- 22 окт.
- 440 просмотров
2

ответа
Системное администрирование

+2 ещё

Простой
Отвал VPN тунеля при подключении по RDP?
- 1 подписчик
- 22 окт.
- 556 просмотров
0

ответов
Linux

+2 ещё

Средний
Туннель Wireguard — всё?
- 4 подписчика
- 21 окт.
- 9101 просмотр
3

ответа
Linux

+2 ещё

Простой
Как настроить Matrix Synapse сервер, чтобы работал клиент Element X (Element подключается)?
- 1 подписчик
- 17 окт.
- 158 просмотров
1

ответ
Nginx

Простой
Как определить картинку: Встроена в страницу или прямая ссылка?
- 1 подписчик
- 16 окт.
- 196 просмотров
1

ответ
Nginx

Простой
Откуда nginx берет главную страницу сайта в моем случае?
- 1 подписчик
- 15 окт.
- 181 просмотр
2

ответа
Компьютерные сети

+2 ещё

Средний
Почему падает качество голоса при исходящих звонках VoIP?
- 2 подписчика
- 14 окт.
- 327 просмотров
1

ответ
Системное администрирование

+1 ещё

Простой
Как сделать бекап виртуальной машины с помощью veeam?
- 4 подписчика
- 14 окт.
- 284 просмотра
2

ответа
Показать ещё Загружается…

Personal Assistant с AI-фокусом (70% бизнес-задачи / 30% личные поручения)

Nexpanse Inc • Москва

от 200 000 ₽

HRD / People & Operations Manager (SaaS, AI)

Nexpanse Inc • Москва

от 450 000 ₽

Руководитель группы разработки удаленно или в офис

IT Force

До 7 000 $

Какую проблему вы вообще пытаетесь решить? Вам спам летит на этот url? Или вы перебор кода хотите пресечь? Если второе, то это нужно на уровне приложения делать, а не веб-сервера.
Алексей Уколов, просто за каждый успешный submit формы уходит СМС, а так как каждый СМС снимается с баланса деньги хотелось бы по максимуму снизить вероятность отправки формы ботами или нечестными людьми.
Для этого уже давно придумали специальный инструмент, называется captcha. В любом случае, такую защиту нужно делать на уровне приложения - проверять капчу, смотреть количество запросов с одного ip, просто количество запросов за последние N минут и т.п.
Алексей Уколов, спасибо за ответ с капчой. При анализе логов идет очень много POST запросов от ботов. Посмотрел модуль ngx_http_limit_req_module. Можно установить лимит на запрос по ip, но как быть тогда с клиентами которые находятся за NATом?
Никак, именно поэтому я и говорю, что правильное решение этой задачи лежит вне конфига веб-сервера. Но если проблема стоит остро и нужен быстрый фикс, то можно и средствами nginx залататься. Как вы поняли, что это запросы от ботов - по ip, по заголовкам, по юзер-агенту? Вот это и используйте для фильтрации.
Алексей Уколов, на сегодня боты тоже поумнели что умеют предоставлять правильные заголовки и юзер-агенты. Значить будем вместе с программистами решать эту задачу. Спасибо большое за совет.
Ну вот вы написали "при анализе логов идет очень много POST запросов от ботов" - вы как поняли, что это именно боты?
Алексей Уколов, Ну вероятность того что это бот, идет в секунды более сотни запросов с подозрительного айпи.

Answer 1 · 2018-08-01 09:18:53

Артем @ulkoart

защитить успешный submit формы, капча

Ответ написан более трёх лет назад

Комментировать

Answer 2 · 2018-08-01 10:07:18

Reversaidx @Reversaidx

Прочитай про testcookie.
Так же можно настроить связку fail2ban и ограничения рейта запросов к форме

Ответ написан более трёх лет назад

1 комментарий

Как защититься от многочисленных POST запросов в nginx?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт