'리눅스 및 서버/nginx' 카테고리의 글 목록

리눅스 및 서버/nginx

AWS 인프라 환경의 nginx단에서 CloudFront-Viewer-JA3-Fingerprint 이용해 봇 차단(+ JA3 헤더 추가 방법) 2023.04.06
nginx location 기본문법 몇가지 메모 2022.12.20 1
Avoiding the Top 10 NGINX Configuration Mistakes 2022.02.23

AWS 인프라 환경의 nginx단에서 CloudFront-Viewer-JA3-Fingerprint 이용해 봇 차단(+ JA3 헤더 추가 방법)

2023. 4. 6. 16:19

목적/배경
1. 서비스를 운영하다보면 봇 등의 공격이 있을 수 있습니다.
2. 특정 IP를 차단해도 IP를 변경해가면서 공격이 들어옵니다. 이때 효과적인 차단 방법 중 하나입니다.
제한 사항
1. AWS의 CloudFront를 사용해야합니다.
2. CloudFront에서 헤더 추가를 활성화해서 nginx에서 JA3헤더를 얻을 수 있어야합니다.(참고 링크)
참고
1. 서버에서 tcpdump -s 0 -A 'tcp dst port 80' 등으로 인입되는 헤더의 CloudFront-Viewer-JA3-Fingerprint 를 분석
  1. AWS JA3헤더 관련 참고 링크
    1. 상세 셋팅 방법은 하단 참고
  2. ja3 fingerprint란? 링크
nginx 설정 방법
1. 확인된 나쁜 JA3 Fingerprint값을 아래 nginx 설정에 추가해서 1(true)로 설정 -> 403리턴

map $http_cloudfront_viewer_ja3_fingerprint $block_fingerprint {
        default 0;
        "차단할 CloudFront-Viewer-JA3-Fingerprint값" 1;
        "차단할 CloudFront-Viewer-JA3-Fingerprint값" 1;
}

server
{
        if ($block_fingerprint) {
           return 403;
        }

        .......

}

추가로, API 요청이었고 rate limit 처리해서 429 리턴 json으로 처리해야하는 경우 아래처럼 작업 가능

error_page 429 /429.json;
location /429.json {
    add_header 'Content-Type' 'application/json charset=UTF-8';
    return 429 '{"success":false, "errorCd":"RATE_LIMITED","msg":"Too Many Requests(rate limit nginx)"}';
}

참고- AWS Cloud Front 헤더 셋팅 방법

CloudFront -> Distributions -> 대상 CloudFront -> Edit behavior

AWS Cloud Front의 Custom Origin request policy를 추가하는 위치

2. Custom policies 생성

샘플 Custom Policy Origin reqeust settings

저작자표시 비영리 변경금지 (새창열림)

'리눅스 및 서버 > nginx' 카테고리의 다른 글

nginx location 기본문법 몇가지 메모 (1)	2022.12.20
Avoiding the Top 10 NGINX Configuration Mistakes (0)	2022.02.23

nginx location 기본문법 몇가지 메모

2022. 12. 20. 15:47

자주 잊어버려서 메모

nginx location 기본 문법
- https://lahuman.github.io/nginx_location_options/
-----

# 정확하게 일치 
location = / {
    [ configuration A ]
}

# 지정한 패턴으로 시작
location / {
    [ configuration B ]
}

# 지정한 패턴으로 시작
location /documents/ {
    [ configuration C ]
}

# 지정한 패턴으로 시작 패턴이 일치 하면 다른 패턴 탐색 중지( 정규식 아님 )
location ^~ /images/ {
    [ configuration D ]
}

# 정규식 표현 일치 - 대소문자 구분
location ~ \.(gif|jpg|jpeg)$ {
    [ configuration E ]
}

# 정규식 표현 일치 - 대소문자 구분 안함
location ~* \.(gif|jpg|jpeg)$ {
    [ configuration F ]
}

저작자표시 비영리 변경금지 (새창열림)

'리눅스 및 서버 > nginx' 카테고리의 다른 글

AWS 인프라 환경의 nginx단에서 CloudFront-Viewer-JA3-Fingerprint 이용해 봇 차단(+ JA3 헤더 추가 방법) (0)	2023.04.06
Avoiding the Top 10 NGINX Configuration Mistakes (0)	2022.02.23

Avoiding the Top 10 NGINX Configuration Mistakes

2022. 2. 23. 14:34

nginx 설정시 이정도는 알아야함

- https://www.nginx.com/blog/avoiding-top-10-nginx-configuration-mistakes/

- 참고링크: https://news.hada.io/topic?id=6041

워커당 File Descriptor가 충분하지 않음
error_log off 는 없음
access_log 는 off가 되지만, error_log는 off가 되지 않음. 이러면 off 이름을 가진 에러 로그 파일이 생성
업스트림 서버 연결에는 Keepalive를 활성화할 것
지시문 상속이 동작하는 방식 제대로 알기
proxy_buffering off 사용 금지
if 지시문의 잘못된 사용
과도한 헬스 체크 금지
Metric 접근에 보안 설정하기
모든 트래픽이 같은 /24 CIDR 블록에서 오는 경우에는 ip_hash 대신 hash $binary_remote_addr consistent 사용
업스트림 그룹의 장점 활용하기

저작자표시 비영리 변경금지 (새창열림)

'리눅스 및 서버 > nginx' 카테고리의 다른 글

AWS 인프라 환경의 nginx단에서 CloudFront-Viewer-JA3-Fingerprint 이용해 봇 차단(+ JA3 헤더 추가 방법) (0)	2023.04.06
nginx location 기본문법 몇가지 메모 (1)	2022.12.20

PREV 1 NEXT

개발자의 일상

리눅스 및 서버/nginx

AWS 인프라 환경의 nginx단에서 CloudFront-Viewer-JA3-Fingerprint 이용해 봇 차단(+ JA3 헤더 추가 방법)

'리눅스 및 서버 > nginx' 카테고리의 다른 글

nginx location 기본문법 몇가지 메모

'리눅스 및 서버 > nginx' 카테고리의 다른 글

Avoiding the Top 10 NGINX Configuration Mistakes

'리눅스 및 서버 > nginx' 카테고리의 다른 글

+ Recent posts

티스토리툴바