安基网 欢乐生肖 安全 Web安全 查看内容

利用openresty+lua+redis 实现封杀频繁恶意访问IP地址

2020-2-11 15:28| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Nginx来限制访问控制的方法有多种,nginx主要有2个模块控制,但是那些不支持自定义,非常死,在大多数场景下并不实用。今天分享一个:利用openresty+lua+redis 实现封杀频繁恶意访问IP地址,当然这个方式也是有弊端的,那就是不断试用代理 IP之类的,但是作用还是有的,起码提高了恶意的成 ...

图/文:迷神

Nginx来限制访问控制的方法有多种,nginx主要有2个模块控制,但是那些不支持自定义,非常死,在大多数场景下并不实用。今天分享一个:利用openresty+lua+redis 实现封杀频繁恶意访问IP地址,当然这个方式也是有弊端的,那就是不断试用代理 IP之类的,但是作用还是有的,起码提高了恶意的成本。

nginx的版本有淘宝nginx,还有春哥的 openresty,但是openresty打包了 nginx 的时候,集成了很多的有用的扩展,特别是 lua,一个小巧的编程语言。本文就是:openresty最新稳定版本+lua Lua +redis最新稳定版本 。

具体环境我就不安装了,大家可以使用宝塔面板啥的安装openresty,如果你的原生态的nginx就需要手动安装,网上教程都是有的,也比较简单。

本文是防止别人破解用户登录界面的,只是以一个思路,供给大家进行探讨学习哈,实际生产环境,需要多重考虑各方面的因素。

先在 http 中加载lua 包和 lua 的 c 包

lua_package_path "/usr/local/openresty/lualib/?.lua;;";

lua_package_cpath "/usr/local/openresty/lualib/?.so;;";

server {    listen 80;    server_name _;    access_log /data/wwwlogs/access_nginx.log combined;    root /data/wwwroot/default;    index index.html index.htm index.php;    #例如我防止别人破解我的登录帐号,还有譬如你匹配你的验证码文件进行限制    location /login {       default_type 'text/html';    access_by_lua_file "/usr/local/openresty/nginx/lua/access_by_redis.lua";        content_by_lua_block {            ngx.say("ok: ")    }    }    location ~ [^/].php(/|$) {        #fastcgi_pass remote_php_ip:9000;        fastcgi_pass unix:/dev/shm/php-cgi.sock;        fastcgi_index index.php;        include fastcgi.conf;        }。。。。。#省略    }

access_by_redis。lua 具体代码如下(已包含详细注释):

ip_bind_time = 30  --封禁IP多长时间ip_time_out = 6    --指定统计ip访问频率时间范围connect_count = 10 --指定ip访问频率计数最大值--上面的意思就是6秒内访问超过10次,自动封 IP 30秒。--连接redislocal redis = require "resty.redis"local cache = redis.new()local ok , err = cache.connect(cache,"127.0.0.1","6379")cache:set_timeout(60000)--如果连接失败,跳转到脚本结尾if not ok then  goto Lastendend--查询ip是否在封禁段内,若在则返回403错误代码--因封禁时间会大于ip记录时间,故此处不对ip时间key和计数key做处理is_bind , err = cache:get("bind_"..ngx.var.remote_addr)if is_bind == '1' then  ngx.exit(ngx.HTTP_FORBIDDEN)  -- 或者 ngx.exit(403)  -- 当然,你也可以返回500错误啥的,搞一个500页面,提示,亲您访问太频繁啥的。  goto Lastendendstart_time , err = cache:get("time_"..ngx.var.remote_addr)ip_count , err = cache:get("count_"..ngx.var.remote_addr)--如果ip记录时间大于指定时间间隔或者记录时间或者不存在ip时间key则重置时间key和计数key--如果ip时间key小于时间间隔,则ip计数+1,且如果ip计数大于ip频率计数,则设置ip的封禁key为1--同时设置封禁key的过期时间为封禁ip的时间if start_time == ngx.null or os.time() - start_time > ip_time_out then  res , err = cache:set("time_"..ngx.var.remote_addr , os.time())  res , err = cache:set("count_"..ngx.var.remote_addr , 1)else  ip_count = ip_count + 1  res , err = cache:incr("count_"..ngx.var.remote_addr)  if ip_count >= connect_count then    res , err = cache:set("bind_"..ngx.var.remote_addr,1)    res , err = cache:expire("bind_"..ngx.var.remote_addr,ip_bind_time) --fix keys  endend--结尾标记::Lastend::local ok, err = cache:close()

最后的效果就是:http://xxxx/login 6秒内访问超过10次,自动封 IP 30秒 。。。这个具体,你也调嘛


本文是很早之前写在博客上的,分享出来希望对大家有用,觉得不错,记得关注,点赞,收藏哦。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6791690362747355662/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
平安彩票是真的吗 欢乐生肖 上海时时乐 幸运飞艇官网 快乐赛车 快乐赛车开奖 内蒙古快3 三分快3 澳洲幸运10开奖结果 秒速快3