欢迎光临
我们一直在努力
        找回密码
当前位置: 服务器运维 unix 正文

nginx Lua Redis防止CC攻击 | centos运维

2018-11-21 分类:unix 阅读(1601) 评论(0)

Nginx Lua Redis防止CC攻击实现原理:同一个外网IP、同一个网址(ngx.var.request_uri)、同一个客户端(http_user_agent)在某一段时间(CCseconds)内访问某个网址(ngx.var.request_uri)超过指定次数(CCcount),则禁止这个外网IP+同一个客户端(md5(IP+ngx.var.http_user_agent)访问这个网址(ngx.var.request_uri)一段时间(blackseconds)。

该脚本使用lua编写(依赖nginx+lua),将信息写到redis(依赖redis.lua)。

Nginx lua模块安装

重新编译nginx,安装lua模块,或者直接使用《OneinStack》安装OpenResty自带改模块

    

  1. pushd /root/oneinstack/src
    2. 

  2. wget -c http://nginx.org/download/nginx-1.12.1.tar.gz
    3. 

  3. wget -c http://mirrors.linuxeye.com/oneinstack/src/openssl-1.0.2l.tar.gz
    4. 

  4. wget -c http://mirrors.linuxeye.com/oneinstack/src/pcre-8.41.tar.gz
    5. 

  5. wget -c http://luajit.org/download/LuaJIT-2.0.5.tar.gz
    6. 

  6. git clone https://github.com/simpl/ngx_devel_kit.git
    7. 

  7. git clone https://github.com/openresty/lua-nginx-module.git
    8. 

  8. tar xzf nginx-1.12.1.tar.gz
    9. 

  9. tar xzf openssl-1.0.2l.tar.gz
    10. 

  10. tar xzf pcre-8.41.tar.gz
    11. 

  11. tar xzf LuaJIT-2.0.5.tar.gz
    12. 

  12. pushd LuaJIT-2.0.5
    13. 

  13. make && make install
    14. 

  14. popd
    15. 

  15. pushd nginx-1.12.1
    16. 

  16. ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.0.2l --with-pcre=../pcre-8.41 --with-pcre-jit --with-ld-opt=-ljemalloc --add-module=../lua-nginx-module --add-module=../ngx_devel_kit
    17. 

  17. make
    18. 

  18. mv /usr/local/nginx/sbin/nginx{,_bk}
    19. 

  19. cp objs/nginx /usr/local/nginx/sbin
    20. 

  20. nginx -t #检查语法
    21.

加载redis.lua

  1. mkdir /usr/local/nginx/conf/lua
  2. cd /usr/local/nginx/conf/lua
  3. wget https://github.com/openresty/lua-resty-redis/raw/master/lib/resty/redis.lua

在/usr/local/nginx/conf/nginx.conf http { }中添加:

  1. #the Nginx bundle:
  2. lua_package_path “/usr/local/nginx/conf/lua/redis.lua;;”;

防止CC规则waf.lua

将下面内容保存在/usr/local/nginx/conf/lua/waf.lua

    

  1. local get_headers = ngx.req.get_headers
    2. 

  2. local ua = ngx.var.http_user_agent
    3. 

  3. local uri = ngx.var.request_uri
    4. 

  4. local url = ngx.var.host .. uri
    5. 

  5. local redis = require 'redis'
    6. 

  6. local red = redis.new()
    7. 

  7. local CCcount = 20
    8. 

  8. local CCseconds = 60
    9. 

  9. local RedisIP = '127.0.0.1'
    10. 

  10. local RedisPORT = 6379
    11. 

  11. local blackseconds = 7200
    12. 

  12. 

  13. if ua == nil then
    14. 

  14.     ua = "unknown"
    15. 

  15. end
    16. 

  16. 

  17. if (uri == "/wp-admin.php") then
    18. 

  18.     CCcount=20
    19. 

  19.     CCseconds=60
    20. 

  20. end
    21. 

  21. 

  22. red:set_timeout(100)
    23. 

  23. local ok, err = red.connect(red, RedisIP, RedisPORT)
    24. 

  24. 

  25. if ok then
    26. 

  26.     red.connect(red, RedisIP, RedisPORT)
    27. 

  27. 

  28.     function getClientIp()
    29. 

  29.         IP = ngx.req.get_headers()["X-Real-IP"]
    30. 

  30.         if IP == nil then
    31. 

  31.             IP = ngx.req.get_headers()["x_forwarded_for"]
    32. 

  32.         end
    33. 

  33.         if IP == nil then
    34. 

  34.             IP  = ngx.var.remote_addr
    35. 

  35.         end
    36. 

  36.         if IP == nil then
    37. 

  37.             IP  = "unknown"
    38. 

  38.         end
    39. 

  39.         return IP
    40. 

  40.     end
    41. 

  41. 

  42.     local token = getClientIp() .. "." .. ngx.md5(url .. ua)
    43. 

  43.     local req = red:exists(token)
    44. 

  44.     if req == 0 then
    45. 

  45.         red:incr(token)
    46. 

  46.         red:expire(token,CCseconds)
    47. 

  47.     else
    48. 

  48.         local times = tonumber(red:get(token))
    49. 

  49.         if times >= CCcount then
    50. 

  50.             local blackReq = red:exists("black." .. token)
    51. 

  51.             if (blackReq == 0) then
    52. 

  52.                 red:set("black." .. token,1)
    53. 

  53.                 red:expire("black." .. token,blackseconds)
    54. 

  54.                 red:expire(token,blackseconds)
    55. 

  55.                 ngx.exit(580)
    56. 

  56.             else
    57. 

  57.                 ngx.exit(580)
    58. 

  58.             end
    59. 

  59.             return
    60. 

  60.         else
    61. 

  61.             red:incr(token)
    62. 

  62.         end
    63. 

  63.     end
    64. 

  64.     return
    65. 

  65. end
    66.

Nginx虚拟主机加载waf.lua

在虚拟主机配置文件/usr/local/nginx/conf/vhost/oneinstack.com.conf

  1. access_by_lua_file “/usr/local/nginx/conf/lua/waf.lua”;

测试

一分钟之内,一个页面快速点击20次以上,登录redis,看到black开通的key即被禁止访问(nginx 503)


欢迎来我们学派吧进行投稿-IDC商-网络开发商 都可以来协商。

AD:【【腾讯云】腾讯云2核4G轻量免费升级4核4G】
赞(0) 打赏
未经允许不得转载: » nginx Lua Redis防止CC攻击 | centos运维
分享到

相关推荐

评论 抢沙发

取消

咨询QQ:690624

腾讯云最热活动

腾讯云轻量服务器2核4G系列产品、可以免费升级到4核4G 、没有购买服务器的用户、或已有这个配置的 赶紧升级了。不懂联系我!!!!

热门文章

快讯

  • 阿里云服务器2024年-双11活动

    活动地址:https://t.aliyun.com/U/pZAGNa

    先领券再下单,享折上折

    认证即可参与领取上云礼包,200+款云产品和 AI 品助力开发者和企业普惠上云

    上云首选,新人限时抢购

    每天两场(上午10:00,下午15:00),上云首选云服务器限量抢购,助力低成本上云

    活动地址:https://t.aliyun.com/U/pZAGNa

    精选热卖云产品,助力一站式上云

    阿里云200+款云产品折上再折,满足多样场景的上云需求 活动规则

    活动地址https://t.aliyun.com/U/pZAGNa

  • 宝塔腾讯云php无法启动的N种常见错误解决教程

    情况一:sock已经被监听

    解决方法:将这个路径下的文件删除后再重启 /tmp/php-cgi-56.sock
    进入ssh 执行以下命令再重启php

    rm -f /tmp/php-cgi-56.sock

    具体不同的php版本,需要将以上命令的56更换为具体报错的php版本号,不能生搬硬套哦

    情况二: libonig.so.2问题

    解决方法:进入ssh 执行这条命令 再尝试启动

        yum install libsodium-devel sqlite-devel oniguruma-devel libwebp-devel libvpx-devel -y
    情况三: fatal error unable to create lock file:bad file descriptor(9)

    解决方法:

        /etc/init.d/php-fpm-72 stop
        /etc/init.d/php-fpm-72 start

    然后再启动试试

    注意:以上的72,为php版本号,哪个版本的php启动不了,就将以上命令的72改为对应版本号

  • 阿里云云小站_服务器优惠_99元服务器-阿里云

    阿里云上云优惠聚集地,新人专享优惠价格,可叠加专享代金券购买价格更低。

    折扣卷领取:https://www.aliyun.com/minisite/goods?userCode=fa2nbd3s

    (1)折扣券不可用于购买产品提货券;
    (2)99计划产品暂不支持折扣补贴券抵扣使用;
    (3)折扣券必须先领取成功后方可使用;
    (4)PC或者无线端订单最终是否支持折扣券请以下单页面实际情况为准;
    (5)用户领取的折扣券有效期为15天,有效期内下单购买有效,15天后券自动失效作废。

  • 腾讯云精选特惠 用云无忧_腾讯云优惠活动

    腾讯云推出大促优惠活动:

    免费领取3150元代金券礼包;云服务器、云数据库、COS等上云必备产品,

    低至1.8折起;云产品助力企业和开发者轻松上云

    同价续费:参与本专区活动,享新购续费同价1次
    同价续费商品,每个配置全网(包含其它活动页面)限新购1次,续费1次 ,详情参见销售卡片 活动规则>>

  • 腾讯云linux系统 initramfs 或 initrd 损坏/丢失

    现象描述

    执行命令或系统启动的过程中,出现 VFS: Unable to mount root fs on unknow-block 或者 error:file '/boot/initramfs-`uname -r`.img' not found 等报错信息。

    可能原因

    1. 系统启动失败,输出 VFS: Unable to mount root fs on unknow-block 可能是 initramfs 或 initrd 有问题,需要重新 生成 initramfs 或 initrd:。如下图所示:

     2:系统启动失败,
    输出 error:file '/boot/initramfs-`uname -r`.img' not found 可能是 /boot 目录下缺少 initramfs/initrd 文件。
    如下图所示:
     
    上面两种情况,都会导致系统无法正常启动。检查并重新生成 initramfs/initrd。

    故障处理

    1.参见 使用救援模式,进入救援模式。
    2. 执行其中的 mount 及 chroot 等命令。
    mkdir -p /mnt/vm1
mount /dev/vda1 /mnt/vm1
mount -o bind /dev /mnt/vm1/dev
mount -o bind /dev/pts /mnt/vm1/dev/pts
mount -o bind /proc /mnt/vm1/proc
mount -o bind /run /mnt/vm1/run
mount -o bind /sys /mnt/vm1/sys
chroot /mnt/vm1 /bin/bash

    3.执行以下命令,重新生成 initramfs/initrd。

    wget http://mirrors.tencentyun.com/install/cts/linux/cvmrescue_main.sh && chmod +x cvmrescue_main.sh && ./cvmrescue_main.sh -m rebuild_initramfs

    碰到域名解析失败的可以在 /etc/hosts 中配置 hosts 169.254.0.3 mirrors.tencentyun.com。

    4.输出如下,表示 initramfs 或 initrd 新建成功。

    5.参见 使用救援模式,退出救援模式,启动系统。

  • 如何查看Linux系统I/O负载情况?

    如何查看Linux系统I/O负载情况?

    本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

    本文介绍如何使用iostat、iotop工具查看I/O负载情况。

    查看磁盘I/O负载

    使用iotop从进程纬度查看磁盘IO负载

    iotop是一个用来监视磁盘I/O使用状况的top类工具,可以从进程纬度查看磁盘IO负载。

    1. 执行如下命令,安装iotop。

      yum install iotop

    2. 执行如下命令,查看I/O负载。

      iotop -k -n 5 -d 3
      说明

      • -b:记录到日志。

      • -k:以KB为单位显示。

      • -n:统计次数。

      • -d:统计时间间隔。

      显示结果如下。

      显示结果参数说明如下,更多参数说明,可执行iotop -h查询。

      • DISK READ:该进程读I/O带宽。

      • DISK WRITE:该进程写I/O带宽。

      • SWAPIN:磁盘的交换使用率。

      • IO:该进程的 I/O 利用率,包含磁盘和交换。

    kjournald进程占用I/O资源高问题

    问题描述

    使用iotop排查分析,发现kjournald进程占用了大量I/O资源。

    问题原因

    该问题通常是由于.ext3文件系统设置的Journal size太小导致。

    kjournald进程是ext3文件系统进行I/O数据操作的内核进程,它在向磁盘内写入和读取数据时占用CPU和内存资源。当循环的向ext3文件系统写数据时,会使Journal size不断增大,到达设置的Journal size时,就会出现该问题。

    解决方案

    1. 远程连接Linux系统的ECS实例。

      具体操作,请参见连接方式概述

    2. 执行如下命令,查看相应分区的Journal size大小。

      dumpe2fs /dev/xvda1 | grep Journal
      说明

      /dev/xvda1请替换为实际的分区。

      系统显示类似如下,表示/dev/xvda1分区的Journal size为128M。

      dumpe2fs 1.42.9 (28-Dec-2013)
Journal inode: 8
Journal backup: inode blocks
Journal features: journal_incompat_revoke
Journal size: 128M
Journal length: 32768
Journal sequence: 0x00010ffb
Journal start: 10953

    3. 执行如下命令,修改Journal size大小。

      mke2fs -J size=400 /dev/xvda1
      说明

      请根据业务需要,修改size大小,/dev/xvda1请替换为实际的分区。

    I/O性能优化:通过4K对齐提高I/O性能

    4K对齐指将符合4K扇区定义格式化过的硬盘,按照4K扇区的规则写入数据。4K对齐可以使簇与扇区相对应,保证了磁盘读写效率,以提高I/O性能。

    本操作介绍如何通过以下脚本对磁盘进行格式化并自动配置4K对齐。

    警告

    运行此脚本会自动格式化所有数据盘,如果非新购数据盘,请在操作前,确认已对相关数据盘进行数据备份。具体操作,请参见创建一个云盘快照

    1. 使用root用户远程连接Linux系统的ECS实例。

      具体操作,请参见连接方式概述

    2. 下载auto_fdisk.zip压缩包后解压,将解压后脚本并上传到目标服务器。

    3. 依次执行如下命令,为脚本添加执行权限,然后运行脚本。

      chmod +x ./auto_fdisk.sh
./auto_fdisk.sh

更好的服务器推荐选择

本站主要用于阿里云、腾讯云、华为云服务器活动的推荐及优惠购买方式、并搜集服务器运维的日常解决方案!

联系我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册