Как защититься от многочисленных POST запросов в nginx?

Question

Хикмат Абдунабиев @Khikmat

Как защититься от многочисленных POST запросов в nginx?

Здравствуйте!
Есть к примеру url "/sms-auth", там форма отправки для авторизации по СМС.
Нужен совет по обеспечению защиты этого urlа от отправки многочисленных POST запросов.
Можно-ли защитится методами nginx или надо на что нить другое смотреть?
Кто сталкивался с такими задачами? Что можете посоветовать?
Заранее большое спасибо за любую помощь.

Вопрос задан более трёх лет назад
238 просмотров

9 комментариев

Подписаться 2 Простой 9 комментариев

Алексей Уколов @alexey-m-ukolov

Какую проблему вы вообще пытаетесь решить? Вам спам летит на этот url? Или вы перебор кода хотите пресечь? Если второе, то это нужно на уровне приложения делать, а не веб-сервера.

Написано более трёх лет назад
Хикмат Абдунабиев @Khikmat Автор вопроса

Алексей Уколов, просто за каждый успешный submit формы уходит СМС, а так как каждый СМС снимается с баланса деньги хотелось бы по максимуму снизить вероятность отправки формы ботами или нечестными людьми.

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov

Для этого уже давно придумали специальный инструмент, называется captcha. В любом случае, такую защиту нужно делать на уровне приложения - проверять капчу, смотреть количество запросов с одного ip, просто количество запросов за последние N минут и т.п.

Написано более трёх лет назад
Хикмат Абдунабиев @Khikmat Автор вопроса

Алексей Уколов, спасибо за ответ с капчой. При анализе логов идет очень много POST запросов от ботов. Посмотрел модуль ngx_http_limit_req_module. Можно установить лимит на запрос по ip, но как быть тогда с клиентами которые находятся за NATом?

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov

Никак, именно поэтому я и говорю, что правильное решение этой задачи лежит вне конфига веб-сервера. Но если проблема стоит остро и нужен быстрый фикс, то можно и средствами nginx залататься. Как вы поняли, что это запросы от ботов - по ip, по заголовкам, по юзер-агенту? Вот это и используйте для фильтрации.

Написано более трёх лет назад
Хикмат Абдунабиев @Khikmat Автор вопроса

Алексей Уколов, на сегодня боты тоже поумнели что умеют предоставлять правильные заголовки и юзер-агенты. Значить будем вместе с программистами решать эту задачу. Спасибо большое за совет.

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov

Ну вот вы написали "при анализе логов идет очень много POST запросов от ботов" - вы как поняли, что это именно боты?

Написано более трёх лет назад
Хикмат Абдунабиев @Khikmat Автор вопроса

Алексей Уколов, Ну вероятность того что это бот, идет в секунды более сотни запросов с подозрительного айпи.

Написано более трёх лет назад
Roman Terekhin @RomaZveR

CSRF токены используете?

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Сетевое администрирование

+1 ещё

Простой
Настроить wake on lan для AnyDesk?
- 5 подписчиков
- вчера
- 3825 просмотров
3

ответа
Linux

+1 ещё

Средний
Как исправить ошибку «Meego grubby fatal error: unable to find a suitable template»?
- 1 подписчик
- вчера
- 51 просмотр
1

ответ
Системное администрирование

+3 ещё

Простой
Есть работающий сервер с ProxMox, но как решить проблему с работой жестких дисков?
- 1 подписчик
- вчера
- 162 просмотра
3

ответа
Linux

+1 ещё

Простой
Как создать свой образ Linux для размноживания на других АРМ?
- 1 подписчик
- 23 апр.
- 192 просмотра
4

ответа
Nginx

Простой
Запрос статичной картинки не зная формата?
- 1 подписчик
- 19 апр.
- 74 просмотра
1

ответ
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 17 апр.
- 120 просмотров
2

ответа
Nginx

Простой
Как настроить nginx forward proxy?
- 1 подписчик
- 16 апр.
- 115 просмотров
2

ответа
Windows

+1 ещё

Средний
Как открыть экранную клавиатуру в режиме киоска?
- 1 подписчик
- 15 апр.
- 175 просмотров
1

ответ
Системное администрирование

+1 ещё

Простой
Какое можно использовать клиент-серверное приложение видеоконференции p2p?
- 1 подписчик
- 15 апр.
- 77 просмотров
1

ответ
Системное администрирование

+1 ещё

Простой
На каком виртуальном сервере процессор мощнее?
- 1 подписчик
- 14 апр.
- 215 просмотров
3

ответа
Показать ещё Загружается…

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Системный администратор (инженер) 🚀

Хабр • Москва

от 140 000 ₽

Системный Администратор

DBI • Ростов-на-Дону

от 100 000 ₽

Помощь СММ-специалиста

25 апр. 2024, в 11:49

25000 руб./за проект

Помощь с СЕРМ

25 апр. 2024, в 11:37

40000 руб./за проект

Кастомизация стандартного функционала Битрикс24

25 апр. 2024, в 11:33

7000 руб./за проект

Какую проблему вы вообще пытаетесь решить? Вам спам летит на этот url? Или вы перебор кода хотите пресечь? Если второе, то это нужно на уровне приложения делать, а не веб-сервера.
Алексей Уколов, просто за каждый успешный submit формы уходит СМС, а так как каждый СМС снимается с баланса деньги хотелось бы по максимуму снизить вероятность отправки формы ботами или нечестными людьми.
Для этого уже давно придумали специальный инструмент, называется captcha. В любом случае, такую защиту нужно делать на уровне приложения - проверять капчу, смотреть количество запросов с одного ip, просто количество запросов за последние N минут и т.п.
Алексей Уколов, спасибо за ответ с капчой. При анализе логов идет очень много POST запросов от ботов. Посмотрел модуль ngx_http_limit_req_module. Можно установить лимит на запрос по ip, но как быть тогда с клиентами которые находятся за NATом?
Никак, именно поэтому я и говорю, что правильное решение этой задачи лежит вне конфига веб-сервера. Но если проблема стоит остро и нужен быстрый фикс, то можно и средствами nginx залататься. Как вы поняли, что это запросы от ботов - по ip, по заголовкам, по юзер-агенту? Вот это и используйте для фильтрации.
Алексей Уколов, на сегодня боты тоже поумнели что умеют предоставлять правильные заголовки и юзер-агенты. Значить будем вместе с программистами решать эту задачу. Спасибо большое за совет.
Ну вот вы написали "при анализе логов идет очень много POST запросов от ботов" - вы как поняли, что это именно боты?
Алексей Уколов, Ну вероятность того что это бот, идет в секунды более сотни запросов с подозрительного айпи.