类似于ab,webbench,jmeter等这种压力测试工具,也是一种攻击方式,通过制造大量的并发请求,耗尽服务器资源。
对于一般中小型网站,很可能一句 webbench -c 30000 -t 500 http://hostname/就能让服务器挂掉.
该如何防御?
原理是通过http_user_agent 来判断。
apache ab的http_user_agent 为ApacheBench
webbench的http_user_agent 为WebBench
只需要在nignx加入如下代码就可以了
if ( $http_user_agent ~ "(ApacheBench|WebBench)" ){
return 403;
}