北京Security SegmentFault2016开发者大会服务端安全专场
34页1、会议时间:2016年11月19日会议地点:新云南皇冠假日酒店会议主题:服务安全专场主持人:大家下午好。我们是做安全的,这次是安全和开发这样一个结合,因为在开发端,安全如果做好的话,那么就不会出现几年,十几年长老级的,很弱智的那些漏洞。今天天气不错,说到了,那么今天来的大牛也非常牛,首先我们请理财范儿资深研发周为,他带来的是NginxLua技术在网络安全方面的应用,大家欢迎。周为:今天人不少,先跟大家自我介绍一下,我是研发工程师,一直负责安全这方面,我们公司是做金融的,特别重视安全。在今年年初的时候,我把我们公司开发了一套NginxLua这么一套技术发布了,结果受到很多的好评,很惭愧,做了一点微不足道的工作,结果获得了很多赞赏。这次来跟大家分享一下这方面的应用和心得,因为Nginx大家用的会比较多一点,基本上各个公司都有在用,然后大家也会拿Nginx去做一些简单的安全配置,比如防止目录被访问之类的。但是普遍的应用都不深。所以今天我就来给大家讲一下,主要是为大家开拓眼界。首先不管做什么东西,我们都有套路,我先来给大家介绍一下,Nginx它进行防御的一个基本的套路是什么。然后大家看这里,上面
2、是基础的套路,下面是高级一点的套路,像基础一点的套路,比如我们会拿Nginx来对访问者的IP进行这么一个匹配,比如我们会限制某一些IP不让它访问。然后再高级一点,比如我想来限制某一个爬虫,或者是某一个扫描器,这种情况下他们一般会有自己的UserAgent。用Nginx它很容易就把目录泄漏出去,这个时候我们会设置一下这个UPI不能被泄漏出去。接着有一些客户端不知道为什么访问得很快,然后这种情况下它有可能是善意的,也有可能是恶意的,但是一般情况下会说是一个限制,就是一个频率限制,就是上面的这四个Nginx自己都能做,基本上把上面的四个做了之后,它就能解决一大部分问题,但是没办法做得太好,因为它总是有办法绕过去,比如说我如果用现成的扫描工具扫描一个网站,现在有很多这种扫描工具,可能它会有自己的一个UserAgent,它也可以改,它的IP也可以通过各种代理服务器,把IP的限制绕过去。然后频率限制也可以放慢这个速度,也解决不了太多问题。但是有了扩展,我们可以做剩下的三个,比如我们可以根据它很复杂的特征来做匹配,就是一些组合的特征。因为这个理论基础是什么?浏览器的话它是一个很复杂的实现,它会有自己
3、的一些特征在里面,比如说用扫描工具,或者是用某一个脚本来试图攻击你的时候,实际上它是在模仿这个浏览器的行为,但是它毕竟不是一个浏览器,所以它就没有办法百分之百做到跟它一样,中间这个细节实际上就会泄漏出来它的身份,它不是个浏览器,然后如果你能够观察出来,就能把它拦在外面。主动行为与探测就是说,比如你目前拿到了这个信息,比如来了一个访问请求实际上你从这个请求,你怎么看你都觉得它是正常的,或者你看不出来任何问题,然后这个时候,但是你觉得它可能有所问题,比如你从日志或者访问的频率,当你发现有问题的时候你可以进行一个主动的探测,比如你发给它一些回应,再观察它回来的反映,其实攻击者的软件,基本上没有办法做到跟人家浏览器组合一模一样,所以你对它进行探测的时候它也会泄漏出来一部分信息,这个时候你就可以把它拦住。如果这两个做好了,实际上它就能解决很多问题。接着就是后面这一个,如果这些行为它看起来都还是正常的,包括你对它进行探测,它也是正常的情况下,你可能会需要继续观察,我先放行请求,我先观察,收集它访问的这么一个规律,然后来再进行一个判断,然后最后当它暴露出来它恶意意图的时候,那你就可以把它拦住了,基本
4、套路就是这个样子。但是一般来说,上面三个你拿Nginx自己的配置你是很容易去做的,再往下三个,就是Nginx它自己的一些限制导致没有办法去做,我们就会需要另外的一些工具来帮我们达到这个目的。比如说我们现在嵌的是Lua在里面,会有人问为什么要嵌Lua,而不嵌GS。为什么呢?Nginx它有官方嵌入Lua的实现,但是现在功能还不是很好用,基本上没办法做这个事情。但是嵌其他语言的话,实际上它可能会对性能损耗比较大,Lua它在这个地方是比较好的一个选择。因为Lua很小,Lua的功能虽然不是特别强,但是它本身很强,它很适合嵌入这种应用。我们接着往下。我们先看一下Nginx的这个工作模型,可以看到首先Nginx是一个多进程的一个工作模型,然后它有一个主要的进程用来控制其他的worker,最右边是我们需要注意的一点,其实它是有共享内存,是可以挂在一个共享的区域,这样的话各个Worker可以访问共享内存,这种情况下有一些信息我们是可以存在共享内存里面,包括Nginx自己访问频率限制,它也是这么做的。就说这个理论上,实际上Nginx它是可以把一些中间的信息存在那个地方,这样子它就可以做一个延迟的角色。比如
《北京Security SegmentFault2016开发者大会服务端安全专场》由会员1591****685分享,可在线阅读,更多相关《北京Security SegmentFault2016开发者大会服务端安全专场》请在金锄头文库上搜索。
药事管理与法规-考前密押试卷
中级软件设计师2004上半年上午试题
北京Security SegmentFault2016开发者大会服务端安全专场
2016北京公务员考试申论热点:水土流失与保持
2016北京行测:资料分析,你真的读懂了吗?
行测备考高分技巧:说说排列组合那点儿事
临床执业助理医师密押卷1套
护师14年考点
2016北京公务员考试申论热点:秸秆焚烧要疏堵结合
中医执业医师密押卷1套
药学综合知识与技能-考前密押试卷
护士密押卷答案及解析
中药学综合知识与技能-考前密押试卷
中级软件设计师2009上半年下午试题
中药学专业知识一-考前密押试卷
公务员考试申论文章没有深度怎么破?
中级软件设计师2009下半年上午试题
2015年下半年上午题软件设计师考真题答案
中医执业助理医师密押卷1套
2016北京公务员考试行测:利润问题解题技巧
2024-04-08 105页
2024-04-08 87页
2024-04-08 79页
2024-04-08 63页
2024-04-08 88页
2024-04-08 60页
2024-04-08 161页
2024-04-08 80页
2024-03-20 44页
2024-03-07 61页