龙空技术网

向网站请求不存在的资源意义何在?

明月登楼 154

前言:

眼前各位老铁们对“nginx head请求”都比较关怀,咱们都想要分析一些“nginx head请求”的相关内容。那么小编同时在网上收集了一些关于“nginx head请求””的相关文章,希望咱们能喜欢,大家一起来学习一下吧!

经常关注站点 Nginx 日志的站长们应该都见过如下图所示的各种不存在资源的请求,并且每天都会有,并且几乎都是随机 IP 的请求,哪怕是都返回了 404 错误代码依旧每天都来,可以说是顽固之极。很多站长都不明白这类“请求不存在的资源”的意义何在?今天明月就给大家说道说道。

head 是 http 中像 GET、POST 一样的请求方式,与 GET 不同的是:客户端向服务器发送 HEAD 请求。服务器只会返回页面的 head 头部部分,这就比请求页面主体部分快得多。

上面网站日志记录的 IP 显然是通过 HEAD 扫描我的网站根目录中可能的 zip、HTML 等文件,通过 HTTP 状态码,攻击者就可以知道它随机扫描的文件是否存在,如果存在的话就进行下载。当然,日志中清一色的 404(请求的资源不存在)说明攻击者并没有得逞:获取我网站上“他想要”的文件,然而密集的请求却导致了主机耗用资源加大了很多。

可能你认为即使下载几个文件并无大碍,但是可以发现攻击者想要下载的文件名看似随机其实大有文章。

以.zip 文件为例分析一下这种请求行为的危害

web、wwwroot、www 是网站根目录常见用名,包括明月在内的广大站长可能经常会将自己网站上的文件进行定期备份、全选然后压缩。就像在 计算机上压缩几个文件夹或文件一样,创建的压缩文件名往往和根目录相同。所以攻击者恶意遍历可能的 根目录名.zip,然后试图下载你的网站备份文件。而以 wordpress 建站系统为例,你的备份文件中的某些文件(wp-config.php)就记录了你的 FTP 和数据库密码,可以说,知道了 FTP 和数据库密码,你的网站意味着全线沦陷。

至于说图片中那些各种格式、不存在的文件请求原来跟上述.zip 是一个目的,仔细看上面的日志截图可以看出有些文件前面还带有目录,所有的这一切看似无伤大雅的“请求不存在的资源”最终目的都是遍历出你的站点的“漏洞”以及疏忽造成的中重要文件代码以达到不可告人的目的。

向网站请求不存在的资源带来的隐患

向网站请求不存在的资源看似没有危害,其实是个很大的隐患,细心的站长可能发现了这类请求都是以GET 请求的方式来发送的请求,百十个的请求量对于现在最普通的 VPS 服务器来说是毫无压力,问题是一旦这个请求量增加或者瞬间大量请求,对于服务器来说就是一次不亚于 DDoS 攻击的伤害。再有就是那句俗话“不怕贼偷就怕贼惦记”,经常被人遍历漏洞和疏忽总不是一件好事儿了,所以明月对这一类的请求都是采取直接屏蔽 IP 的态度,具体操作大家可以参考文章:服务器全面使用 Fail2Ban 初见成效

标签: #nginx head请求