教你一招使用防火牆遮蔽UA(User Agent)網路攻擊

前些時日，有人惡意攻擊本網站和伺服器，開始時節奏較緩慢，重啟下伺服器即可，後來可不得了，進入伺服器後臺都無法進，只能停止網站，一啟動執行網站，伺服器秒蹦，然後，重啟伺服器第一件事就是停止網站，檢視日誌，發現伺服器的資料庫被頻繁呼叫、網路層資料滿載、應用層呼叫CPU和內容也滿載的原因是有人利用本網站的Wordpress 搜尋功能，頻繁執行搜尋，有多頻繁呢，大致計算每秒幾千上萬個請求進來吧，不秒蹦才怪。

本文目錄

1 UA User Agent定義

2 網路攻擊UA分析

3 UA資料下載

4 UA正則表示式

4。1 UA使用正則表示式精準匹配：

4。2 UA使用正則表示式模糊匹配：

5 其他防護方式

被攻擊的伺服器狀態

事情發生的結點很有意義，先對伺服器進行了各種補丁修復，沒能解決問題，懷疑是阿里伺服器被攻擊沒防住部分轉移到該伺服器上了，打電話問阿里是不是有這種可能，於是增加了阿里防火牆，開始變的穩定了，又問阿里怎麼加了防火牆就沒啥事了，卻看不到攻擊資料，得，這確實說不過去了，於是又開始不穩定，然後還是看不到資料。

後來發現阿里防火前基礎版費用一年下來也不低，也擋不住攻擊，如果按照其高階套餐下來，這一年費用可不少。於是，選擇了

寶塔

面板的企業級/專業級寶塔防火牆。雖然配置上沒有人幫忙（或得花錢），畢竟工具可以使用。基於問題的複雜性，找人幫忙也只能在複雜問題中獲得部分幫助，於是米國生活自己來研究問題，解決問題，本文從UA說起。

UA User Agent定義

使用者代理（User Agent，簡稱 UA），是一個特殊字串頭，使得伺服器能夠識別客戶使用的作業系統及版本、CPU 型別、瀏覽器及版本、瀏覽器渲染引擎、瀏覽器語言、瀏覽器外掛等。

網路攻擊UA分析

從IP統計上來看，大量的IP來自鄭州，且鄭州電信、鄭州聯通，以及北京移動。之前的IP封掉之後，近期又新增了陝西阿里雲等。

監控來訪IP

大量來自某一地區

查詢當日阿里雲異常IP日誌發現仍是/？s=搜尋訪問消耗伺服器

具體詳細搜尋行為

搜尋的中文URL解析

URL解析為中文形式

左青龍，右白虎，心不正，業不勤，以看上去是在做推廣的方式，實際上在實施純粹攻擊的目的。

UA資料下載

透過寶塔面板可以購買專業企業版防火牆，根據系列工具分析下載Excel表格，會用到Excel綜合排序、篩選、刪除重複資料、條件格式-重複資料飄紅等功能，進行UA資料的詳細分析。

透過寶塔企業/專業工具下載的Excel

UA正則表示式

在進行http協議批次資料處理的過程中，正則表示式是經常用到的一個工具，在國外有很多成熟的網站工具，國內在正則表示式使用上，確實很難在身邊、平臺等找到精通正則表示式的人才，實為遺憾，下面米國生活將透過自己的實戰和學習分享UA的正則表示式的用法，可用於防火牆配置。

UA值：

Mozilla/5。0 （Linux； Android 5。0； SM-G900P Build/LRX21T） AppleWebKit/537。36 （KHTML， like Gecko） Chrome/92。0。4515。159 Mobile Safari/537。36

以上UA使用正則表示式精準匹配為：

^Mozilla\/5\。0。\（Linux\；。Android。5\。0\；。SM\-G900P。Build\/LRX21T\）。AppleWebKit\/537\。36\ （KHTML\，。like。Gecko\）。Chrome\/92\。0\。4515\。159。Mobile。Safari\/537\。36

用法說明：

先把輸入法切換為英文半形狀態，這玩意是西方老美研發並制定的規則，為了更準確的理解，以下說明不加標點符號

^表示正則表示式要開始了的字元

\表示跳脫字元 每一個符號字元前都要用\進行轉義才能保持原來的屬性

。表示一個字元位置 原字元中的。字元需要用\進行轉義 轉義後的格式為\。 而原字串中的空格需要用。替換 表示是一個字元 如果不用。替換 或許要其他

正則表示式

的符號進行表示 不建議初學者使用太多方式 以上方式簡單且準確

精準匹配的含義，就是完全匹配，一個字元不差，就是隻針對此UA進行正則正則表示式進行轉換，差一個字元都不生效。就好比米國生活做的品牌營銷的精準營銷服務一樣，

對品牌詞進行最佳化

，只提高品牌詞的美譽度和品牌聲量。

以上UA使用正則表示式模糊匹配為：

^Mozilla\/5\。0。\（Linux\；。Android。5\。0\；。*Chrome。*Safari\/537\。36

其中。*表示任意匹配任何字元，任意匹配任何次數，模糊匹配表達的是Mozilla 5。0 使用Linux 安卓 5。0 Chrome瀏覽器 蘋果Safari 537 36版本核心的，這樣範圍就寬了許多，現在安卓已經不是5。0這麼低了，另外安卓使用蘋果瀏覽器在普通使用者來看，幾乎無法實現，只有技術操作、假資料才能實現，所以，遮蔽此技術攻擊並不影響真實使用者訪問網站。

以上說明已經很清楚的表達瞭如何使用正則表示式對UA進行使用，不再舉例，米國生活官網仍在受著攻擊，避免攻擊者發現此預防方法，持續改變資料，導致讓米國生活不停地修改防護策略，這種PK，沒有意義，勞民傷財。

模糊匹配在米國生活網路營銷、品牌營銷方案中，屬於公域營銷範圍，就是在一個更大的範圍內篩選自己的客戶。

其他防護方式

除了使用防火牆對User Agent進行遮蔽外，還需要使用多種方法進行綜合的防護，如，IP、URL、POST、GET、URI、Cookies、Header等，諸如米國生活官網開始僅僅是來自鄭州的IP猛烈攻擊，限制鄭州IP之後，同樣的攻擊方式又轉移到了其他地區IP，這時候對方攻擊是主動的，如果不用UA等其他方式限制，只做IP防護是不夠的。