一、Host头攻击的原理与危害

Host头是HTTP请求中的核心字段，用于指定目标服务器的域名。在虚拟主机环境中，Nginx等Web服务器通过该字段将请求路由至对应的站点配置。攻击者可通过伪造Host头实施两类攻击：

1. 缓存污染攻击：向CDN或反向代理发送恶意Host头，将非法内容缓存至合法域名下
2. 服务欺骗攻击：利用未严格校验Host头的配置，将请求转发至内部敏感服务（如管理后台）

典型攻击场景示例：

GET /admin HTTP/1.1
Host: internal.example.com

若Nginx配置中存在server_name _或未限制Host头，该请求可能绕过访问控制，直接访问内部管理接口。

二、Nginx原生防御配置

1. 严格限定允许的Host头

在server块中通过server_name指令明确声明合法域名，拒绝所有未匹配的请求：

server {
    listen 80;
    server_name example.com www.example.com;  # 仅允许这两个域名
    if ($host !~* ^(example.com|www.example.com)$ ) {
        return 444;  # 直接关闭连接
    }
    # 其他配置...
}

关键点：

• 使用正则表达式精确匹配域名
• 避免使用通配符_或空值
• 测试时建议先返回403而非444，便于调试

2. 启用HTTP严格传输安全(HSTS)

在全局配置中添加HSTS头，强制浏览器使用HTTPS访问：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

作用：

• 防止SSL剥离攻击
• 减少中间人攻击风险
• 需确保所有子域名已配置HTTPS

3. 禁用危险HTTP方法

限制非必要HTTP方法，仅保留GET/POST：

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 405;
}

适用场景：

• 静态内容服务器
• API网关
• 需严格遵循REST规范的场景需调整正则表达式

三、增强型防御方案

1. 使用ngx_http_realip_module模块

当Nginx位于反向代理后时，需从X-Forwarded-Host头获取真实Host值：

http {
    real_ip_header X-Forwarded-Host;
    set_real_ip_from 10.0.0.0/8;  # 信任的代理IP段
    server {
        server_name example.com;
        if ($realip_remote_host !~* ^example.com$ ) {
            return 403;
        }
    }
}

注意事项：

• 必须配合set_real_ip_from限制可信代理
• 定期审计代理服务器列表

2. 集成OpenResty的lua安全脚本

通过Lua脚本实现更灵活的校验逻辑：

-- /etc/nginx/lua/host_validation.lua
local allowed_hosts = {
    ["example.com"] = true,
    ["www.example.com"] = true
}
local host = ngx.var.host
if not allowed_hosts[host] then
    ngx.exit(ngx.HTTP_FORBIDDEN)
end

Nginx配置调用：

server {
    set $allowed_host 0;
    access_by_lua_file /etc/nginx/lua/host_validation.lua;
    if ($allowed_host = 0) {
        return 403;
    }
}

优势：

• 支持动态域名列表更新
• 可集成外部API验证
• 性能损耗低于正则匹配

四、防御效果验证

1. 使用curl进行测试

# 合法请求测试
curl -H "Host: example.com" http://localhost
# 非法请求测试（应返回403）
curl -H "Host: attacker.com" http://localhost

2. 自动化扫描工具

推荐使用以下工具进行全面检测：

• OWASP ZAP：Web应用安全扫描器
• Nikto：服务器漏洞扫描工具
• Nmap：配合http-headers脚本检测

3. 日志监控方案

配置Nginx错误日志记录非法请求：

error_log /var/log/nginx/host_attack.log warn;
log_format host_attack '$remote_addr - $remote_user [$time_local] '
                      '"$request" $status $body_bytes_sent '
                      '"$http_referer" "$http_user_agent" "$host"';
access_log /var/log/nginx/host_access.log host_attack;

通过ELK等日志系统建立实时告警规则，当单位时间内非法Host请求超过阈值时触发警报。

五、生产环境部署建议

1. 灰度发布策略：

   • 先在非核心业务环境验证配置
   • 使用nginx -t测试配置语法
   • 逐步增加流量观察监控指标

2. 性能优化措施：

   • 将Host校验逻辑前移至网络层（如云厂商的WAF）
   • 对高频访问域名建立本地DNS缓存
   • 使用连接池减少DNS查询开销

3. 灾备方案：

   • 保留默认server块处理非法请求（返回444而非403）
   • 配置核心业务的独立监听端口
   • 建立应急响应流程处理大规模攻击

六、常见问题处理

Q1：配置后出现502 Bad Gateway错误

• 检查代理服务器是否传递了正确的Host头
• 验证proxy_set_header Host $host配置
• 使用tcpdump抓包分析请求链路

Q2：如何支持多级子域名校验

map $host $is_valid_host {
    default 0;
    ~*^(?<subdomain>.+)\.example\.com$ 1;
    example.com 1;
    www.example.com 1;
}
server {
    if ($is_valid_host = 0) {
        return 403;
    }
}

Q3：容器环境中的特殊配置
在Kubernetes等容器平台中，需额外处理Ingress控制器传递的Host头：

# Ingress配置示例
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/configuration-snippet: |
      if ($host !~* ^(example.com|www.example.com)$ ) {
        return 403;
      }
spec:
  rules:
  - host: example.com
    http:
      paths:
      - pathType: Prefix
        path: /
        backend:
          service:
            name: web-service
            port:
              number: 80

通过上述系统化的防御方案，可有效抵御99%以上的Host头攻击。实际部署时需根据业务特点调整校验规则，建议每季度进行安全审计，持续优化防护策略。对于高安全要求的场景，可考虑结合云厂商的WAF服务构建纵深防御体系。