Nginx, ограничение трафика по referer?

Question

[Vadim Rybalko]

Приветствую.


Время от времени возникает проблема с паразитными запросами к сайту такого вида: владелец другого, достаточно высонагруженного сайта размещает у себя iframe с тяжёлым запросом к нашему, следственно, у нас возникает флуд вида «какой-то_IP запрос реферер_негодяя». Да, можно отлавливать такие атаки и блокировать негодяев по реферерам, но это немного на то: нужно свести к минимуму ручное вмешательство.


Кто как борется с таким явлением? Мне видится схема: установить для рефереров не в белом списке (сам сайт) ограничение в запросах в секунду (выбрать действительно аномальное число). Только вот не знаю, как это возможно реализовать. Может у кого иные соображения есть?


P.S. Всё вышесказанное относится к Nginx.

Answer 1

[Максим]

блокировать все рефереры не от вашего сайта, конечно, не очень хорошо.
решение в лоб:
1. создаёте полный дубль вашего основного location (там где происходит обработка php или что у вас там), называете его как хотите.
2. в этот дубль добавляете единственное отличие — ставите туда limit_req (limit_req_zone настраиваете по вкусу).
3. в секцию server добавляете внутренний(!) редирект на дублированный location если реферер не ваш.
4. profit!

Answer 2

[Влад Животнев]

if ( $http_referer ~* (^google.com) ){
return 403;
}
Баним реферер google.com (НЕ google.com).

Это вам на всякий случай =) А дальше уже играйтесь.

Comments

[Vadim Rybalko]

Так мы сейчас и делаем, но смысл в том, чтобы избавиться от ручной работы и доверить это дело автоматике.

[Влад Животнев]

Ну попробуйте что-то вроде
if ( $http_referer !~ (-|^google.com/*|итакдалее) ){
return 403;
}

Answer 3

[Ivan]

Ограничение по ко-ву запросов:
wiki.nginx.org/HttpLimitReqModule

Comments

[Ivan]

И оно же sysoev.ru/nginx/docs/http/ngx_http_limit_req_module.html