Nginx來限制訪問控制的方法有多種,nginx主要有2個模塊控制,但是那些不支持自定義,非常死,在大多數場景下并不實用。今天分享一個:利用openresty+lua+redis 實現封殺頻繁惡意訪問IP地址,當然這個方式也是有弊端的,那就是不斷試用代理 IP之類的,但是作用還是有的,起碼提高了惡意的成本。
nginx的版本有淘寶nginx,還有春哥的 openresty,但是openresty打包了 nginx 的時候,集成了很多的有用的擴展,特別是 lua,一個小巧的編程語言。本文就是:openresty最新穩定版本+lua Lua +redis最新穩定版本 。
具體環境我就不安裝了,大家可以使用寶塔面板啥的安裝openresty,如果你的原生態的nginx就需要手動安裝,網上教程都是有的,也比較簡單。
lua腳本
ip_bind_time =3600 --封禁IP多長時間,單位秒
ip_time_out = 2 --指定統計ip訪問頻率時間范圍,秒
connect_count = 5 --指定ip訪問頻率計數最大值,秒
--上面的意思就是2秒內訪問超過5次,自動封 IP 60分鐘。
--連接redis
local redis = require "resty.redis"
local cache = redis.new()
local ok , err = cache.connect(cache,"127.0.0.1","6379")
cache:set_timeout(60000)
cache:auth("1234") -- redis密碼
--如果連接失敗,跳轉到腳本結尾
if not ok then
goto Lastend
end
--查詢ip是否在封禁段內,若在則返回403錯誤代碼
--因封禁時間會大于ip記錄時間,故此處不對ip時間key和計數key做處理
local is_bind , err = cache:get("bind_"..ngx.var.remote_addr)
if is_bind == '1' then
ngx.exit(ngx.HTTP_FORBIDDEN)
-- 或者 ngx.exit(403)
-- 當然,你也可以返回500錯誤啥的,搞一個500頁面,提示,親您訪問太頻繁啥的。
goto Lastend
end
local start_time , err = cache:get("time_"..ngx.var.remote_addr)
local ip_count , err = cache:get("count_"..ngx.var.remote_addr)
--如果ip記錄時間大于指定時間間隔或者記錄時間或者不存在ip時間key則重置時間key和計數key
--如果ip時間key小于時間間隔,則ip計數+1,且如果ip計數大于ip頻率計數,則設置ip的封禁key為1
--同時設置封禁key的過期時間為封禁ip的時間
if start_time == ngx.null or os.time() - start_time > ip_time_out then
res , err = cache:set("time_"..ngx.var.remote_addr , os.time())
res , err = cache:set("count_"..ngx.var.remote_addr , 1)
res , err = cache:expire("time_"..ngx.var.remote_addr,ip_bind_time)
res , err = cache:expire("count_"..ngx.var.remote_addr,ip_bind_time)
else
ip_count = ip_count + 1
res , err = cache:incr("count_"..ngx.var.remote_addr)
if ip_count >= connect_count then
res , err = cache:set("bind_"..ngx.var.remote_addr,1)
res , err = cache:expire("bind_"..ngx.var.remote_addr,ip_bind_time) --fix keys
end
end
local ok, err = cache:close()
--結尾標記
::Lastend::
openresty nginx配置:
做了個簡單的反向代理, 本機8888端口下發login請求,轉發到項目實際登錄接口
access_by_lua_file配置導入lua腳本
效果:刷新五次后403并封IP, 頻率和時間都是在腳本中設置
redis數據:
局限性
