事出有因

最近web系统引来了黑客的攻击,经常被扫描,各种漏洞尝试。

分析攻击日志,有几种常见的攻击手段:

  • 上传webshell
  • 远程执行命令漏洞
  • sql注入
  • xxs 攻击
  • 试探各种开源框架爆出来的漏洞

分析攻击信息的特点

说白了就是采用web渗透技术,利用http请求,黑客想尽办法,在http header ,body,等部分植入非法的命令,非法字符常见的有:exe,cmd,powershell,download,select,union,delete等等。

解决问题思路

  • 我们能不能开发个代理服务器,来分析http请求header,body里面的信息,如果有非法字符,就截断,拒绝服务。
  • 配置允许请求的白名单,拒绝非法Url.

网络拓扑



http proxy 拦截非法请求,拒绝服务。

技术选型

常见的代理服务器有nginx,apache,不知道这2个代理服务器能不能灵活的配置,过滤,转发,没有深入了解。

因此选用nodejs http-proxy。

nodejs优点

  • 轻量级
  • 快速部署
  • 灵活开发
  • 高吞吐,异步io

编码实现逻辑图

绝对干货,分享代码

代码依赖

var util = require('util'),

    colors = require('colors'),

    http = require('http'),

    httpProxy = require('./node_modules/http-proxy');

    fs = require("fs");

var welcome = [

    '#    # ##### ##### #####        #####  #####   ####  #    # #   #',

    '#    #   #     #   #    #       #    # #    # #    #  #  #   # # ',

    '######   #     #   #    # ##### #    # #    # #    #   ##     #  ',

    '#    #   #     #   #####        #####  #####  #    #   ##     #  ',

    '#    #   #     #   #            #      #   #  #    #  #  #    #  ',

    '#    #   #     #   #            #      #    #  ####  #    #   #   '

].join('\n');

Date.prototype.Format = function(fmt) { //author: meizz

    var o = {

        "M+": this.getMonth() + 1, //月份

        "d+": this.getDate(), //日

        "h+": this.getHours(), //小时

        "m+": this.getMinutes(), //分

        "s+": this.getSeconds(), //秒

        "S": this.getMilliseconds() //毫秒

    };

    if (/(y+)/.test(fmt)) fmt = fmt.replace(RegExp.$1, (this.getFullYear() + "").substr(4 - RegExp.$1.length));

    for (var k in o)

        if (new RegExp("(" + k + ")").test(fmt)) fmt = fmt.replace(RegExp.$1, (RegExp.$1.length == 1) ? (o[k]) : (("00" + o[k]).substr(("" + o[k]).length)));

    return fmt;

}

// 非法字符

var re = /php|exe|cmd|shell|select|union|delete|update|insert/;

/** 这里配置转发

 */

var proxyPassConfig = {

    "/hello": "http://www.qingmiaokeji.cn ",

    "/": "http://127.0.0.1/"

}

var logRootPath ="g:/httpproxy/";

console.log(welcome.rainbow.bold);

function getCurrentDayFile(){

    // console.log(logRootPath+"access_"+(new Date()).Format("yyyy-MM-dd")+".log");

    return logRootPath+"access_"+(new Date()).Format("yyyy-MM-dd")+".log";

}

//

// Basic Http Proxy Server

//

var proxy = httpProxy.createProxyServer({});

var server = http.createServer(function (req, res) {

    appendLog(req)

    var postData = "";

    req.addListener('end', function(){

        //数据接收完毕

        console.log(postData);

        if(!isValid(postData)){//post请求非法参数

            invalidHandler(res)

        }

    });

    req.addListener('data', function(postDataStream){

        postData += postDataStream

    });

    var result = isValid(req.url)

    //验证http头部是否非法

    for(key in req.headers){

        result = result&& isValid(req.headers[key])

    }

    if (result) {

        var patternUrl = urlHandler(req.url);

        console.log("patternUrl:" + patternUrl);

        if (patternUrl) {

            proxy.web(req, res, {target: patternUrl});

        } else {

            noPattern(res);

        }

    } else {

        invalidHandler(res)

    }

});

proxy.on('error', function (err, req, res) {

    res.writeHead(500, {

        'Content-Type': 'text/plain'

    });

    res.end('Something went wrong.');

});

/**

 * 验证非法参数

 * @param value

 * @returns {boolean} 非法返回False

 */

function isValid(value) {

    return re.test(value) ? false : true;

}

/**

 * 请求转发

 * @param url

 * @returns {*}

 */

function urlHandler(url) {

    var tempUrl = url.substring(url.lastIndexOf("/"));

    return proxyPassConfig[tempUrl];

}

function invalidHandler(res) {

    res.writeHead(400, {'Content-Type': 'text/plain'});

    res.write('Bad Request ');

    res.end();

}

function noPattern(res) {

    res.writeHead(404, {'Content-Type': 'text/plain'});

    res.write('not found');

    res.end();

}

function getClientIp(req){

    return req.headers['x-forwarded-for'] ||

            req.connection.remoteAddress ||

            req.socket.remoteAddress ||

            req.connection.socket.remoteAddress;

}

function appendLog(req) {

    console.log("request url:" + req.url);

    var logData = (new Date()).Format("yyyy-MM-dd hh:mm:ss")+" "+getClientIp(req)+" "+req.method+ " "+req.url+"\n";

    fs.exists(logRootPath,function(exists){

        if(!exists){

            fs.mkdirSync(logRootPath)

        }

        fs.appendFile(getCurrentDayFile(),logData,'utf8',function(err){

            if(err)

            {

                console.log(err);

            }

        });

    })

}

console.log("listening on port 80".green.bold)

server.listen(80);

思路扩展

  • 拦截非法字符后可以发邮件通知管理员
  • 可以把日志发送到日志系统,进行大数据分析
  • 增加频繁访问,拒绝Ip功能。 可以利用redis 过期缓存实现。

【nodejs代理服务器一】nodejs http-proxy 开发反向代理服务器,防火墙,过滤常见的web渗透的更多相关文章

  1. 用PHP实现反向代理服务器

    什么是反向代理: 百度百科有云: 反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给int ...

  2. Windows下使用nginx搭建反向代理服务器

    反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时 ...

  3. Nginx 一个高性能的HTTP和反向代理服务器

    本文只针对Nginx在不加载第三方模块的情况能处理哪些事情,由于第三方模块太多所以也介绍不完,当然本文本身也可能介绍的不完整,毕竟只是我个人使用过和了解过,欢迎留言交流. Nginx能做什么 ——反向 ...

  4. 高并发解决方案--负载均衡(HTTP,DNS,反向代理服务器)(解决大流量,高并发)

    高并发解决方案--负载均衡(HTTP,DNS,反向代理服务器)(解决大流量,高并发) 一.总结 1.什么是负载均衡:当一台服务器的性能达到极限时,我们可以使用服务器集群来提高网站的整体性能.那么,在服 ...

  5. 如何搭建web服务器 使用Nginx搭建反向代理服务器 .

    引言:最近公司有台服务器遭受DDOS攻击,流量在70M以上,由于服务器硬件配置较高所以不需要DDOS硬件防火墙.但我们要知道,IDC机房是肯定不允许这种流量一直处于这么高的,因为没法具体知道后面陆续攻 ...

  6. apache代理服务器为nodejs服务设置域名

    本机以apache为主,其中 在httpd.conf中先设置 <VirtualHost *:80> ServerName nodejs.cc ServerAlias www.nodejs. ...

  7. nodeJS学习(4)--- webstorm/...开发 NodeJS 项目-节1

    前提: 已安装好 IDE ,eg:webstorm/IDEA 2016.3 & 2017.1 nodeJS(含 npm 及 相应的模板等) 要用 webstorm 开发 NodeJS项目(we ...

  8. 【APT】NodeJS 应用仓库钓鱼,大规模入侵开发人员电脑,批量渗透各大公司内网

    APT][社工]NodeJS 应用仓库钓鱼,大规模入侵开发人员电脑,批量渗透各大公司内网 前言 城堡总是从内部攻破的.再强大的系统,也得通过人来控制.如果将入侵直接从人这个环节发起,那么再坚固的防线, ...

  9. 反向代理服务器(Reverse Proxy)

    反向代理服务器(Reverse Proxy)   普通代理服务器是帮助内部网络的计算机访问外部网络.通常,代理服务器同时连接内网和外网.首先内网的计算机需要设置代理服务器地址和端口,然后将HTTP请求 ...

随机推荐

  1. VS在项目范围内禁止关闭特定警告

    要在项目范围内禁止警告,请在项目文件中定义要忽略的以分号分隔的警告代码列表.附加警告代码也$(NoWarn); 1.首先找到该项目的 .csproj 文件 >> 在<Property ...

  2. preg_replace修饰符e的用法

    $tmp_refer = postget('refer');$tmp_refer = preg_replace("/tn-(.*?).html/ies", "'tn-'. ...

  3. js获取当前页面的url地址

    //微信分享的时候要通过这样动态获取url传参,因为微信会对url自动加参数,所以要动态获取,不能写死url var page_url = location.href.split('#')[0];

  4. 【OpenGL学习】 四种绘制直线的算法

    我是用MFC框架进行测试的,由于本人也没有专门系统学习MFC框架,代码若有不足之处,请指出. 一,先来一个最简单的DDA算法 DDA算法全称为数值微分法,基于微分方程来绘制直线. ①推导微分方程如下: ...

  5. (CVE-2017-7269 ) IIS6.0实现远程控制

    简介 IIS 6.0默认不开启WebDAV,一旦开启了WebDAV,安装了IIS6.0的服务器将可能受到该漏洞的威胁 利用条件 Windows 2003 R2开启WebDAV服务的IIS6.0 环境搭 ...

  6. alertmanager的web页面显示UTC时间的问题

    1.http://192.168.1.144:9093/#/alerts 显示的告警时间是UTC时间 2.脚本的变量 {"status":"success"}[ ...

  7. 前端入门系列之CSS

    CSS (Cascading Style Sheets) 是用来样式化和排版你的网页的 —— 例如更改网页内容的字体.颜色.大小和间距,将内容分割成多列或者加入动画以及别的装饰型效果. CSS是什么 ...

  8. python 文件读写操作(24)

    以前的代码都是直接将数据输出到控制台,实际上我们也可以通过读/写文件的方式读取/输出到磁盘文件中,文件读写简称I/O操作.文件I/O操作一共分为四部分:打开(open)/读取(read)/写入(wri ...

  9. uwp,GridView、ListView取消选中效果

    在SelectionChanged事件中,添加两行代码,取消点击Item后的选中效果 void GridViewSelectionChanged(object sender, SelectionCha ...

  10. 乐字节Java变量与数据类型之一:Java编程规范,关键字与标识符

    大家好,我是乐字节的小乐,这次要给大家带来的是Java变量与数据类型.本文是第一集:Java编程规范,关键字与标识符. 一.编程规范 任何地方的名字都需要见名知意: 代码适当缩进 书写过程成对编程 对 ...