nginx Lua Redis防止CC攻击 | centos运维

Nginx Lua Redis防止CC攻击实现原理:同一个外网IP、同一个网址(ngx.var.request_uri)、同一个客户端(http_user_agent)在某一段时间(CCseconds)内访问某个网址(ngx.var.request_uri)超过指定次数(CCcount),则禁止这个外网IP+同一个客户端(md5(IP+ngx.var.http_user_agent)访问这个网址(ngx.var.request_uri)一段时间(blackseconds)。

该脚本使用lua编写(依赖nginx+lua),将信息写到redis(依赖redis.lua)。

Nginx lua模块安装

重新编译nginx,安装lua模块,或者直接使用《OneinStack》安装OpenResty自带改模块

  1. pushd /root/oneinstack/src
  2. wget -c http://nginx.org/download/nginx-1.12.1.tar.gz
  3. wget -c http://mirrors.linuxeye.com/oneinstack/src/openssl-1.0.2l.tar.gz
  4. wget -c http://mirrors.linuxeye.com/oneinstack/src/pcre-8.41.tar.gz
  5. wget -c http://luajit.org/download/LuaJIT-2.0.5.tar.gz
  6. git clone https://github.com/simpl/ngx_devel_kit.git
  7. git clone https://github.com/openresty/lua-nginx-module.git
  8. tar xzf nginx-1.12.1.tar.gz
  9. tar xzf openssl-1.0.2l.tar.gz
  10. tar xzf pcre-8.41.tar.gz
  11. tar xzf LuaJIT-2.0.5.tar.gz
  12. pushd LuaJIT-2.0.5
  13. make && make install
  14. popd
  15. pushd nginx-1.12.1
  16. ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.0.2l --with-pcre=../pcre-8.41 --with-pcre-jit --with-ld-opt=-ljemalloc --add-module=../lua-nginx-module --add-module=../ngx_devel_kit
  17. make
  18. mv /usr/local/nginx/sbin/nginx{,_bk}
  19. cp objs/nginx /usr/local/nginx/sbin
  20. nginx -t #检查语法

加载redis.lua

  1. mkdir /usr/local/nginx/conf/lua
  2. cd /usr/local/nginx/conf/lua
  3. wget https://github.com/openresty/lua-resty-redis/raw/master/lib/resty/redis.lua

在/usr/local/nginx/conf/nginx.conf http { }中添加:

  1. #the Nginx bundle:
  2. lua_package_path “/usr/local/nginx/conf/lua/redis.lua;;”;

防止CC规则waf.lua

将下面内容保存在/usr/local/nginx/conf/lua/waf.lua

  1. local get_headers = ngx.req.get_headers
  2. local ua = ngx.var.http_user_agent
  3. local uri = ngx.var.request_uri
  4. local url = ngx.var.host .. uri
  5. local redis = require 'redis'
  6. local red = redis.new()
  7. local CCcount = 20
  8. local CCseconds = 60
  9. local RedisIP = '127.0.0.1'
  10. local RedisPORT = 6379
  11. local blackseconds = 7200
  12. if ua == nil then
  13. ua = "unknown"
  14. end
  15. if (uri == "/wp-admin.php") then
  16. CCcount=20
  17. CCseconds=60
  18. end
  19. red:set_timeout(100)
  20. local ok, err = red.connect(red, RedisIP, RedisPORT)
  21. if ok then
  22. red.connect(red, RedisIP, RedisPORT)
  23. function getClientIp()
  24. IP = ngx.req.get_headers()["X-Real-IP"]
  25. if IP == nil then
  26. IP = ngx.req.get_headers()["x_forwarded_for"]
  27. end
  28. if IP == nil then
  29. IP = ngx.var.remote_addr
  30. end
  31. if IP == nil then
  32. IP = "unknown"
  33. end
  34. return IP
  35. end
  36. local token = getClientIp() .. "." .. ngx.md5(url .. ua)
  37. local req = red:exists(token)
  38. if req == 0 then
  39. red:incr(token)
  40. red:expire(token,CCseconds)
  41. else
  42. local times = tonumber(red:get(token))
  43. if times >= CCcount then
  44. local blackReq = red:exists("black." .. token)
  45. if (blackReq == 0) then
  46. red:set("black." .. token,1)
  47. red:expire("black." .. token,blackseconds)
  48. red:expire(token,blackseconds)
  49. ngx.exit(580)
  50. else
  51. ngx.exit(580)
  52. end
  53. return
  54. else
  55. red:incr(token)
  56. end
  57. end
  58. return
  59. end

Nginx虚拟主机加载waf.lua

在虚拟主机配置文件/usr/local/nginx/conf/vhost/oneinstack.com.conf

  1. access_by_lua_file “/usr/local/nginx/conf/lua/waf.lua”;

测试

一分钟之内,一个页面快速点击20次以上,登录redis,看到black开通的key即被禁止访问(nginx 503)

nginx Lua Redis防止CC攻击 | centos运维
欢迎来我们学派吧进行投稿-IDC商-网络开发商 都可以来协商。

主题测试文章,只做测试使用。发布者:云大使,转转请注明出处:https://www.xp8.net/server/1916.html

(0)
打赏 微信扫一扫 微信扫一扫
SaltStack设置配置教程 | Linux运维教程
上一篇 2018年11月21日 下午11:24
本地tomcat正常,但liunx poi excel下载却内容乱码问题的解决方法-学派吧
下一篇 2018年11月21日 下午11:48

相关推荐

  • 阿里云服务器普通模式下绑定网卡多EIP的方法

    本文为您介绍如何在弹性公网IP(EIP)绑定辅助弹性网卡的普通模式下,实现辅助弹性网卡多EIP,从而提高ECS实例的利用率。 背景信息 现在使用阿里云服务器的用户越来越多了。而一台服务器一台IP限制了一些用户多站点的使用。今天就来分享下单服务器多网卡多IP教程 推荐服务器购买优惠 该地址甄选企业上云所需多类商品,满足客户多样化需求,支持快速选配,一键购买等功…

    服务器运维 2021年6月23日
    4.1K00
  • HTTP 错误 500.0 – Internal Server Error

    错误出现情形:此错误一般出现在网站搬家到新网站空间报错。 错误原因:web.config文件中定义的php版本路径出错。 原有空间php文件路径: 新空间文件路径: 修改后就能正常使用了

    2018年7月17日
    4.8K00
  • 学派网分享Linux命令快捷方式大全资料-linux教程

    如果您有服务器咨询问题、购买问题、可以联系我们客服 7271895 690624商祺云-阿里代理、景安代理、西部代理 命令行编辑的辅助操作: Tab健:自动补齐 Ctrl +U :清空至首行 Ctrl +K: 清空至尾行 Ctrl +L:(或者clear) 清屏 Ctrl +C: 取消执行命令 获取帮助命令: 内部命令help 例如:help cd 大多数外…

    服务器运维 2019年1月15日
    2.7K00
  • Linux7如何设置静态IP的方法教程-学派吧

    这篇文章主要介绍了Centos Linux7设置静态IP的实例的相关资料,需要的朋友可以参考下 如果您有服务器咨询问题、购买问题、可以联系我们客服 7271895 690624商祺云-阿里代理、景安代理、西部代理 Centos Linux7设置静态IP的实例 ## 先进入配置文件的放置位置: cd /etc/sysconfig/network-scripts…

    服务器运维 2019年1月4日
    2.2K00
  • Apache防盗链和隐藏版本信息-linux-centos运维

    有需要服务器方面的需求和咨询,可以联系博主 QQ 7271895 一、防盗链 二、隐藏版本信息 实验要求: 三台虚拟机分别是:linux和两台windows虚拟机,linux虚拟机为服务器,Windows7-1为客户端,Windows7-2为盗链端。 实验步骤: 一、防盗链 1.把httpd、apr、apr-util安装包解压缩到/opt目录中 tar zx…

    2018年10月2日
    3.0K00

发表回复

登录后才能评论
联系我们

联系我们

18838889666

在线咨询: QQ交谈

邮件:xinyun@88.com

工作时间:周一至周五,9:30-18:30,节假日休息

添加微信
添加微信
分享本页
返回顶部