Nginx防止恶意扫描的方案，涵盖请求频率控制、UA特征拦截、敏感路径防护等配置

引子

互联网世界里，服务器就像没有围墙的商铺，总有不速之客拿着"扫描器"挨家挨户试探漏洞。作为运维老兵的我们，今天就手把手教你如何用Nginx打造"智能门禁系统"，让恶意扫描器在服务器门前碰一鼻子灰。

一、基础防御工事搭建

1.1 请求频率限制

就像给访客发限时通行证，我们可以设置访问闸机。以下配置会对同一IP的请求进行流量管制：

http {
    limit_req_zone $binary_remote_addr zone=antiscan:10m rate=30r/m;

    server {
        location / {
            # 突发请求超过30次/分钟后开启限流
            limit_req zone=antiscan burst=50 nodelay;
            # 限制每个IP每秒最多5个连接
            limit_conn perip 5;
        }
    }
}

注：burst参数允许短时突发流量，避免误伤正常用户，nodelay立即执行限流策略

1.2 敏感路径防护

给管理员后台穿上隐形斗篷，让扫描器找不到入口：

location ~* ^/(admin|phpmyadmin|wp-login) {
    # 仅允许指定IP段访问
    allow 192.168.1.0/24;
    allow 10.0.0.0/8;
    deny all;
    
    # 附加认证层
    auth_basic "Restricted Area";
    auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
}

注：正则表达式匹配常见管理路径，双重认证机制提升安全性

二、高级防御策略

2.1 异常UA拦截

建立"可疑人员特征库"，拦截扫描器指纹：

map $http_user_agent $badagent {
    default 0;
    # 常见扫描器UA特征
    ~*(nmap|sqlmap|hydra|dirbuster) 1;
    ~*(httpie|curl|wget) 0;  # 放行合法工具
}

server {
    if ($badagent) {
        return 444;  # 静默关闭连接
    }
}

注：444是Nginx特有状态码，不会返回任何响应数据

2.2 协议特征过滤

识破扫描器的"假身份证"，拦截非常规请求：

location / {
    # 拦截非常规HTTP方法
    if ($request_method !~ ^(GET|POST|HEAD)$) {
        return 405;
    }
    
    # 检测畸形请求头
    if ($http_user_agent = "") {
        return 444;
    }
}

三、伪装与迷惑战术

3.1 蜜罐陷阱

设置诱饵路径消耗攻击者精力：

location /secret-api {
    # 记录访问日志并重定向到虚假接口
    access_log /var/log/nginx/honeypot.log;
    return 301 http://fakeapi.example.com;
}

location ~* \.(bak|old|sql)$ {
    # 返回伪造的数据库文件
    return 200 "看似重要的假数据";
}

3.2 信息模糊处理

消除服务器特征信息：

server_tokens off;  # 隐藏Nginx版本
more_clear_headers Server;  # 完全移除Server头
more_clear_headers X-Powered-By;

四、关联技术联动

4.1 日志分析自动化

配置实时监控脚本：

#!/bin/bash
# 实时分析访问日志
tail -f /var/log/nginx/access.log | grep --line-buffered \
    -e 'sqlmap' -e 'nmap' | while read line
do
    # 自动拉黑IP
    ip=$(echo $line | awk '{print $1}')
    iptables -A INPUT -s $ip -j DROP
done

4.2 动态黑名单维护

使用fail2ban实现智能封禁：

# fail2ban配置文件片段
[nginx-req-limit]
enabled = true
filter = nginx-req-limit
action = iptables-multiport[name=nginx-req-limit, port="http,https"]
logpath = /var/log/nginx/error.log
maxretry = 3
findtime = 600

五、技术方案评估

应用场景分析：

• 个人博客：基础防护+UA过滤即可
• 企业官网：需增加WAF规则和日志监控
• 电商平台：建议结合商业防火墙解决方案

技术优势：

1. 零额外成本，仅需配置现有Nginx
2. 低性能损耗，多数规则基于内存计算
3. 灵活可扩展，规则可动态调整

潜在缺陷：

• 无法防御分布式扫描
• 规则维护需要持续更新
• 可能误封合法爬虫

注意事项：

1. 每次修改配置后执行nginx -t测试
2. 保留原始配置备份
3. 定期审查拦截日志
4. CDN环境下需处理真实客户端IP

六、总结

通过本文的配置技巧，我们构建了多层防御体系：从基础的请求频率控制，到高级的UA特征识别，再到动态的日志联动。就像给服务器穿上了自适应盔甲，既能抵挡常规扫描，又能智能识别新型攻击。技术防御的本质是攻防博弈，建议每月审查一次规则库，保持安全策略的持续进化。