如何利用Nginx防止IP地址被惡意解析詳解

使用Nginx的目的

使用阿里雲ECS雲服務器，首先聊聊筆者使用Nginx的背景。

初始化ECS後會生成一個公網IP，默認訪問IP地址自動訪問80端口，此時通過ip地址可直接訪問啟動在80端口的服務。

如再把域名解析到當前ip，即可通過域名直接訪問80端口的服務。

然後，出現了一個問題：任何人都可以將域名解析到ip地址，也就是說，通過其他域名也可以訪問到自己ECS上的服務。至於目的，這種攻擊手段未免太光明正大了，應該是想養域名然後售賣（猜測，腦洞夠大的大大交流一下）。

避免這種攻擊的方式有很多種，參考網上的答案，配置Nginx是最方便快捷的。

大致思路如下，web端服務以非80端口啟動（無法直接通過IP地址訪問到）,Nginx配置一層正向代理，將域名轉發到域名+端口。

結果：解析後使用自己的域名可以直接訪問，本質上是轉發到了ip地址+端口。而其他域名沒有配置端口轉發，所以會被攔截下來。

使用Nginx的場景有很多，反向代理，負載均衡等等，防止惡意解析只是其中一種。

也許未來或擴展更多Nginx相關的技術經驗，但是代碼只是一種工具，技術只有在解決了真正的問題才會產生價值，不然就如同紙上談兵，毫無意義。

之前看到過一篇文章，講的是兩個開發者在討論技術選擇，其中一個人選擇了冷門的Lua，另一個人表示不解，為什麼不選擇熱門的技術，更好的性能，更好的開發體驗。然而，她的回答是：能解決我們的問題就行了。

我陷入了深思，2019掀起的微服務架構浪潮我也跟了一把，學習了很多新的技術，名詞，感覺盆滿缽滿。然而很難有機會將其運用到實際的項目開發中，高併發，微服務到底是一種技術，還是一種炫耀的資本，解決的是項目中的實際問題還是就業問題。學習無罪，但在學習前我會思考，我會使用它，還是被它所束縛。

就嗶嗶這麼多，以下是在Linux環境下Nginx的常用命令和我複製下來的配置文件（nginx.conf）

常用命令列表

  yum install nginx  //安裝nginx（centos）    //開機自啟  systemctl enable nginx  systemctl disable nginx    //查看nginx狀態  systemctl status nginx    //啟動，停止，重啟  systemctl start nginx  systemctl stop nginx  systemctl restart nginx    //重新加載配置  systemctl reload nginx    //配置文件的默認位置  /etc/nginx 主配置文件nginx.conf

防止惡意解析配置

   server {        listen    80 default_server;        server_name _;        access_log  off;        return    444;      }

  # For more information on configuration, see:  #  * Official English Documentation: http://nginx.org/en/docs/  #  * Official Russian Documentation: http://nginx.org/ru/docs/    user nginx;  worker_processes auto;  error_log /var/log/nginx/error.log;  pid /run/nginx.pid;    # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.  include /usr/share/nginx/modules/*.conf;    events {    worker_connections 1024;  }    http {    log_format main '$remote_addr - $remote_user [$time_local] "$request" '             '$status $body_bytes_sent "$http_referer" '             '"$http_user_agent" "$http_x_forwarded_for"';      access_log /var/log/nginx/access.log main;      sendfile      on;    tcp_nopush     on;    tcp_nodelay     on;    keepalive_timeout  65;    types_hash_max_size 2048;      include       /etc/nginx/mime.types;    default_type    application/octet-stream;      # Load modular configuration files from the /etc/nginx/conf.d directory.    # See http://nginx.org/en/docs/ngx_core_module.html#include    # for more information.    include /etc/nginx/conf.d/*.conf;      server {        listen    80 default_server;        server_name _;        access_log  off;        return    444;      }    server {      listen    80;      server_name www.zkrun.top;      location / {          proxy_pass http://www.zkrun.top:8080;      }        error_page 404 /404.html;        location = /40x.html {      }        error_page 500 502 503 504 /50x.html;        location = /50x.html {      }    }    # Settings for a TLS enabled server.  #  #  server {  #    listen    443 ssl http2 default_server;  #    listen    [::]:443 ssl http2 default_server;  #    server_name _;  #    root     /usr/share/nginx/html;  #  #    ssl_certificate "/etc/pki/nginx/server.crt";  #    ssl_certificate_key "/etc/pki/nginx/private/server.key";  #    ssl_session_cache shared:SSL:1m;  #    ssl_session_timeout 10m;  #    ssl_ciphers HIGH:!aNULL:!MD5;  #    ssl_prefer_server_ciphers on;  #  #    # Load configuration files for the default server block.  #    include /etc/nginx/default.d/*.conf;  #  #    location / {  #    }  #  #    error_page 404 /404.html;  #      location = /40x.html {  #    }  #  #    error_page 500 502 503 504 /50x.html;  #      location = /50x.html {  #    }  #  }  }