设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 649|回复: 0

[经验分享] nginx通过lua和redis防止CC×××

[复制链接]
xingyu655

尚未签到
发表于 2018-11-2 09:51:30 | 显示全部楼层 |阅读模式
  Nginx Lua Redis防止CC×××实现原理:同一个外网IP、同一个网址(ngx.var.request_uri)、同一个客户端(http_user_agent)在某一段时间(CCseconds)内访问某个网址(ngx.var.request_uri)超过指定次数(CCcount),则禁止这个外网IP+同一个客户端(md5(IP+ngx.var.http_user_agent)访问这个网址(ngx.var.request_uri)一段时间(blackseconds)。
  该脚本使用lua编写(依赖nginx+lua),将信息写到redis(依赖redis.lua)。
  nginx重新编译
  获取nginx编译参数
  [root@mfs003 ~]# `nginx -V`
  nginx version: nginx/1.12.2
  built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC)
  built with OpenSSL 1.0.2n  7 Dec 2017
  TLS SNI support enabled
  configure arguments: `--prefix=/usr/local/nginx --user=www --group=www --with-    http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.0.2n --with-pcre=../pcre-8.41 --with-pcre-jit --with-ld-opt=-ljemalloc `
  下载对应软件
  [root@mfs003 ~]# mkdir /data/soft
  [root@mfs003 ~]# cd /data/soft
  [root@mfs003 soft]#  wget -c http://nginx.org/download/nginx-1.12.1.tar.gz
  [root@mfs003 soft]#  wget -c http://mirrors.linuxeye.com/oneinstack/src/openssl-1.0.2l.tar.gz
  [root@mfs003 soft]#  wget -c http://mirrors.linuxeye.com/oneinstack/src/pcre-8.41.tar.gz
  [root@mfs003 soft]#  wget -c http://luajit.org/download/LuaJIT-2.0.5.tar.gz
  [root@mfs003 soft]#  git clone https://github.com/simpl/ngx_devel_kit.git
  [root@mfs003 soft]#   git clone https://github.com/openresty/lua-nginx-module.git
  解压nginx和打lua补丁
  [root@mfs003 soft]# tar xf nginx-1.12.1.tar.gz
  [root@mfs003 soft]# tar xzf LuaJIT-2.0.5.tar.gz
  [root@mfs003 soft]# pushd LuaJIT-2.0.5
  [root@mfs003 soft]# make && make install
  [root@mfs003 soft]# popd
  [root@mfs003 soft]# pushd nginx-1.12.1
  [root@mfs003 nginx-1.12.1]#  ./configure  --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.0.2n --with-pcre=../pcre-8.41 --with-pcre-jit --with-ld-opt=-ljemalloc --add-module=../lua-nginx-module --add-module=../ngx_devel_kit
  [root@mfs003 nginx-1.12.1]#  make
  [root@mfs003 nginx-1.12.1]#   mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_back
  [root@mfs003 nginx-1.12.1]#  cp objs/nginx /usr/local/nginx/sbin/nginx
  检查nginx语法
  [root@mfs003 nginx-1.12.1]# nginx -t
  获取redis.lua文件并下载到conf目录下
  [root@mfs003 nginx-1.12.1]# cd /usr/local/nginx/conf/
  [root@mfs003 conf]# wget https://github.com/openresty/lua-resty-redis/raw/master/lib/resty/redis.lua
  [root@mfs003 conf]# vim nginx.conf #在/usr/local/nginx/conf/nginx.conf http { }中添加:
  lua_package_path "/usr/local/nginx/conf/redis.lua";
DSC0000.jpg

防止CC规则waf.lua
  将下面内容保存在/usr/local/nginx/conf/waf.lua
  [root@mfs003 conf]# cat waf.lua
  local get_headers = ngx.req.get_headers
  local ua = ngx.var.http_user_agent
  local uri = ngx.var.request_uri
  local url = ngx.var.host .. uri
  local redis = require 'redis'
  local red = redis.new()
  local CCcount = 20
  local CCseconds = 60
  local RedisIP = '127.0.0.1'
  local RedisPORT = 6379
  local blackseconds = 7200
  if ua == nil then
  ua = "unknown"
  end
  if (uri == "/wp-admin.php") then
  CCcount=20
  CCseconds=60
  end
  red:set_timeout(100)
  local ok, err = red.connect(red, RedisIP, RedisPORT)
  if ok then
  red.connect(red, RedisIP, RedisPORT)
  function getClientIp()
  IP = ngx.req.get_headers()["X-Real-IP"]
  if IP == nil then
  IP = ngx.req.get_headers()["x_forwarded_for"]
  end
  if IP == nil then
  IP  = ngx.var.remote_addr
  end
  if IP == nil then
  IP  = "unknown"
  end
  return IP
  end
  local token = getClientIp() .. "." .. ngx.md5(url .. ua)
  local req = red:exists(token)
  if req == 0 then
  red:incr(token)
  red:expire(token,CCseconds)
  else
  local times = tonumber(red:get(token))
  if times >= CCcount then
  local blackReq = red:exists("black." .. token)
  if (blackReq == 0) then
  red:set("black." .. token,1)
  red:expire("black." .. token,blackseconds)
  red:expire(token,blackseconds)
  ngx.exit(580)
  else
  ngx.exit(580)
  end
  return
  else
  red:incr(token)
  end
  end
  return
  end
  在虚拟主机里面加载waf.lua文件
DSC0001.jpg

  测试
  打开浏览器访问主页   快速点击多次  然后看结果
DSC0002.jpg



运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-629679-1-1.html 上篇帖子: docker下redis集群搭建 下篇帖子: Memcache与Redis有什么区别?
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表