Nginx Lua Redis防止CC攻击

    Nginx Lua Redis防止CC攻击实现原理:同一个外网IP、同一个网址(ngx.var.request_uri)、同一个客户端(http_user_agent)在某一段时间(CCseconds)内访问某个网址(ngx.var.request_uri)超过指定次数(CCcount),则禁止这个外网IP+同一个客户端(md5(IP+ngx.var.http_user_agent)访问这个网址(ngx.var.request_uri)一段时间(blackseconds)。

    该脚本使用lua编写(依赖nginx+lua),将信息写到redis(依赖redis.lua)。

    Nginx lua模块安装

    重新编译nginx,安装lua模块,或者直接使用《OneinStack》安装OpenResty自带改模块

    1. pushd /root/oneinstack/src
    2. wget -c http://nginx.org/download/nginx-1.12.1.tar.gz
    3. wget -c http://mirrors.linuxeye.com/oneinstack/src/openssl-1.0.2l.tar.gz
    4. wget -c http://mirrors.linuxeye.com/oneinstack/src/pcre-8.41.tar.gz
    5. wget -c http://luajit.org/download/LuaJIT-2.0.5.tar.gz
    6. git clone https://github.com/simpl/ngx_devel_kit.git
    7. git clone https://github.com/openresty/lua-nginx-module.git
    8. tar xzf nginx-1.12.1.tar.gz
    9. tar xzf openssl-1.0.2l.tar.gz
    10. tar xzf pcre-8.41.tar.gz
    11. tar xzf LuaJIT-2.0.5.tar.gz
    12. pushd LuaJIT-2.0.5
    13. make && make install
    14. popd
    15. pushd nginx-1.12.1
    16. ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.0.2l --with-pcre=../pcre-8.41 --with-pcre-jit --with-ld-opt=-ljemalloc --add-module=../lua-nginx-module --add-module=../ngx_devel_kit
    17. make
    18. mv /usr/local/nginx/sbin/nginx{,_bk}
    19. cp objs/nginx /usr/local/nginx/sbin
    20. nginx -t #检查语法

    加载redis.lua

    1. mkdir /usr/local/nginx/conf/lua
    2. cd /usr/local/nginx/conf/lua
    3. wget https://github.com/openresty/lua-resty-redis/raw/master/lib/resty/redis.lua

    在/usr/local/nginx/conf/nginx.conf http { }中添加:

    1. #the Nginx bundle:
    2. lua_package_path "/usr/local/nginx/conf/lua/redis.lua;;";

    防止CC规则waf.lua

    将下面内容保存在/usr/local/nginx/conf/lua/waf.lua

    1. local get_headers = ngx.req.get_headers
    2. local ua = ngx.var.http_user_agent
    3. local uri = ngx.var.request_uri
    4. local url = ngx.var.host .. uri
    5. local redis = require 'redis'
    6. local red = redis.new()
    7. local CCcount = 20
    8. local CCseconds = 60
    9. local RedisIP = '127.0.0.1'
    10. local RedisPORT = 6379
    11. local blackseconds = 7200
    12. if ua == nil then
    13.     ua = "unknown"
    14. end
    15. if (uri == "/wp-admin.php") then
    16.     CCcount=20
    17.     CCseconds=60
    18. end
    19. red:set_timeout(100)
    20. local ok, err = red.connect(red, RedisIP, RedisPORT)
    21. if ok then
    22.     red.connect(red, RedisIP, RedisPORT)
    23.     function getClientIp()
    24.         IP = ngx.req.get_headers()["X-Real-IP"]
    25.         if IP == nil then
    26.             IP = ngx.req.get_headers()["x_forwarded_for"]
    27.         end
    28.         if IP == nil then
    29.             IP  = ngx.var.remote_addr
    30.         end
    31.         if IP == nil then
    32.             IP  = "unknown"
    33.         end
    34.         return IP
    35.     end
    36.     local token = getClientIp() .. "." .. ngx.md5(url .. ua)
    37.     local req = red:exists(token)
    38.     if req == 0 then
    39.         red:incr(token)
    40.         red:expire(token,CCseconds)
    41.     else
    42.         local times = tonumber(red:get(token))
    43.         if times >= CCcount then
    44.             local blackReq = red:exists("black." .. token)
    45.             if (blackReq == 0) then
    46.                 red:set("black." .. token,1)
    47.                 red:expire("black." .. token,blackseconds)
    48.                 red:expire(token,blackseconds)
    49.                 ngx.exit(580)
    50.             else
    51.                 ngx.exit(580)
    52.             end
    53.             return
    54.         else
    55.             red:incr(token)
    56.         end
    57.     end
    58.     return
    59. end

    Nginx虚拟主机加载waf.lua

    在虚拟主机配置文件/usr/local/nginx/conf/vhost/oneinstack.com.conf

    1. access_by_lua_file "/usr/local/nginx/conf/lua/waf.lua";

    测试

    一分钟之内,一个页面快速点击20次以上,登录redis,看到black开通的key即被禁止访问(nginx 503)

    Nginx Lua Redis防止CC攻击

    Sat Feb 18 22:30:07 CST 2017

    • 本文由 发表于 2017-02-18
    • 转载请务必保留本文链接:https://linuxeye.com/454.html
    Keepalived+Nginx架构整理版 Linux

    Keepalived+Nginx架构整理版

    Keepalived介绍 keepalived是一个类似于layer3, 4, 5 交换机制的软件,也就是我们平时说的第3层、第4层和第5层交换。Keepalived的作用是检测web服务器的状态,如...
    匿名

    发表评论

    匿名网友

      • avatar Ropon

        请问同一页面请求20次以上就会被拦截
        换个浏览器后又可以访问呢

          • avatar yeho

            @ Ropon 是的 换浏览器后http_user_agent不同了

          • avatar MG

            在最后一步加上了 access_by_lua_file “/usr/local/nginx/conf/lua/waf.lua”;在配置文件里
            然后访问就会出现500错误是怎么回事啊。。。

              • avatar yeho

                @ MG redis.lua是否加了? redis-server是否安装?

              • avatar meteor

                参考你的文章配置了nginx。因为我服务器是在公网没有做反向代理

                所以我IP部分设置的是

                function getClientIp()
                IP = ngx.var.remote_addr
                return IP
                end
                测试了下黑白名单工作正常。但是发现依然有部分IP可以不受限制,做到每秒100多次的请求。。非常奇怪
                请问下是哪里设置有问题么?
                同样的疑问我也发到了v2ex https://www.v2ex.com/t/368462

                • avatar Onenight

                  为什么访问一次redis中的key 的value 每次增加2次???

                  • avatar yunwei

                    这个方法怎么修改拦截提示的?
                    就是当超过20次了,跳转一个html页面或者链接也好。

                    现在这个就一片空白。

                      • avatar yeho

                        @ yunwei 可以修改lua,做一些url跳转设置。

                      • avatar 黑苹果社区

                        听说使用Lua会杀死蜘蛛抓取,不知道是真是假???