1. openresty开发系列38--通过Lua+Redis 实现动态封禁IP
  2.  
  3. 一)需求背景
    为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。
    对于黑名单之内的 IP ,拒绝提供服务。
  4.  
  5. 二)设计方案
    实现 IP 黑名单的功能有很多途径:
    1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求;
    2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单;
    3、在应用层面,在请求服务之前检查一遍客户端 IP 是否在黑名单。
  6.  
  7. 为了方便管理和共享,我们通过 Nginx+Lua+Redis 的架构实现 IP 黑名单的功能
  8.  
  9. 如图

    配置nginx.conf
    http部分,配置本地缓存,来缓存redis中的数据,避免每次都请求redis
  10.  
  11. lua_shared_dict shared_ip_blacklist 8m; #定义ip_blacklist 本地缓存变量
  12.  
  13. location /ipblacklist {
        access_by_lua_file /usr/local/lua/access_by_limit_ip.lua;
        echo "ipblacklist";
    }
  14.  
  1. # 编辑 /usr/local/lua/access_by_limit_ip.lua
  2.  
  3. local function close_redis(red)
  4.     if not red then
  5.         return
  6.     end
  7.     --释放连接(连接池实现)
  8.     local pool_max_idle_time =  --毫秒
  9.     local pool_size =  --连接池大小
  10.     local ok, err = red:set_keepalive(pool_max_idle_time, pool_size)
  11.     if not ok then
  12.         ngx.say("set keepalive error : ", err)
  13.     end
  14. end
  15.  
  16. local function errlog(...)
  17.     ngx.log(ngx.ERR, "redis: ", ...)
  18. end
  19.  
  20. local function duglog(...)
  21.     ngx.log(ngx.DEBUG, "redis: ", ...)
  22. end
  23.  
  24. local function getIp()
  25.     local myIP = ngx.req.get_headers()["X-Real-IP"]
  26.     if myIP == nil then
  27.         myIP = ngx.req.get_headers()["x_forwarded_for"]
  28.     end
  29.     if myIP == nil then
  30.         myIP = ngx.var.remote_addr
  31.     end
  32.     return myIP;
  33. end
  34.  
  35. local key = "limit:ip:blacklist"
  36. local ip = getIp();
  37. local shared_ip_blacklist = ngx.shared.shared_ip_blacklist
  38.  
  39. --获得本地缓存的最新刷新时间
  40. local last_update_time = shared_ip_blacklist:get("last_update_time");
  41.  
  42. if last_update_time ~= nil then
  43.     local dif_time = ngx.now() - last_update_time
  44.     if dif_time <  then --缓存1分钟,没有过期
  45.         if shared_ip_blacklist:get(ip) then
  46.             return ngx.exit(ngx.HTTP_FORBIDDEN) --直接返回403
  47.         end
  48.         return
  49.     end
  50. end
  51.  
  52. local redis = require "resty.redis"  --引入redis模块
  53. local red = redis:new()  --创建一个对象,注意是用冒号调用的
  54.  
  55. --设置超时(毫秒)
  56. red:set_timeout()
  57. --建立连接
  58. local ip = "10.11.0.215"
  59. local port =
  60. local ok, err = red:connect(ip, port)
  61. if not ok then
  62.     close_redis(red)
  63.     errlog("limit ip cannot connect redis");
  64. else
  65.     local ip_blacklist, err = red:smembers(key);
  66.  
  67.     if err then
  68.         errlog("limit ip smembers");
  69.     else
  70.         --刷新本地缓存,重新设置
  71.         shared_ip_blacklist:flush_all();
  72.  
  73.         --同步redis黑名单  本地缓存
  74.         for i,bip in ipairs(ip_blacklist) do
  75.             --本地缓存redis中的黑名单
  76.             shared_ip_blacklist:set(bip,true);
  77.         end
  78.         --设置本地缓存的最新更新时间
  79.         shared_ip_blacklist:set("last_update_time",ngx.now());
  80.     end
  81. end  
  82.  
  83. if shared_ip_blacklist:get(ip) then
  84.     return ngx.exit(ngx.HTTP_FORBIDDEN) --直接返回403
  85. end
  1.  

当redis设置了密码时代码如下:

[root@node5 lua]# cat /usr/local/lua/access_by_limit_ip.lua

  1. local function close_reis(red)
  2.     if not red then
  3.         return
  4.     end
  5.     local pool_max_idle_time =
  6.     local pool_size =
  7.     local ok, err = red:set_keepalive(pool_max_idle_time, pool_size)
  8.     if not ok then
  9.         ngx.say("set keepalive error :", err)
  10.     end
  11. end
  12.  
  13. local function errlog(...)
  14.     ngx.log(ngx.ERR, "redis: ", ...)
  15. end
  16.  
  17. local function duglog(...)
  18.     ngx.log(ngx.DEBUG, "redis: ",...)
  19. end
  20.  
  21. local function getIp()
  22.     local myip = ngx.req.get_headers()["X-Real-IP"]
  23.     if myip == nil then
  24.         myip = ngx.req.get_headers()["x_forwarded_for"]
  25.     end
  26.     if myip == nil then
  27.         myip = ngx.var.remote_addr
  28.     end
  29.     return myip
  30. end
  31.  
  32. local key = "limit:ip:blacklist"
  33. local ip = getIp();
  34. local shared_ip_blacklist = ngx.shared.shared_ip_blacklist
  35.  
  36. local last_update_time = shared_ip_blacklist:get("last_update_time");
  37.  
  38. if last_update_time ~= nil then
  39.     local dif_time = ngx.now() - last_update_time
  40.     if dif_time <  then
  41.         if shared_ip_blacklist:get(ip) then
  42.             return ngx.exit(ngx.HTTP_FORBIDDEN)
  43.         end
  44.         return
  45.     end
  46. end
  47.  
  48. local redis = require "resty.redis"
  49. local red = redis:new()
  50.  
  51. red:set_timeout()
  52. local ip = "10.11.0.215"
  53. local port =
  54. local ok, err = red:connect(ip,port)
  55.  
  56. local count, err = red:get_reused_times()
  57. if  == count then ----新建连接,需要认证密码
  58.     ok, err = red:auth("redis123")
  59.     if not ok then
  60.         ngx.say("failed to auth: ", err)
  61.         return
  62.     end
  63. elseif err then  ----从连接池中获取连接,无需再次认证密码
  64.     ngx.say("failed to get reused times: ", err)
  65.     return
  66. end
  67.  
  68. if not ok then
  69.     close_redis(red)
  70.     errlog("limit ip cannot connect redis");
  71. else
  72.     local ip_blacklist, err = red:smembers(key)
  73.  
  74.     if err then
  75.         errlog("limit ip smembers")
  76.     else
  77.         shared_ip_blacklist:flush_all();
  78.  
  79.         for i,bip in ipairs(ip_blacklist) do
  80.             shared_ip_blacklist:set(bip, true);
  81.         end
  82.  
  83.         shared_ip_blacklist:set("last_update_time", ngx.now());
  84.     end
  85. end
  86.  
  87. if shared_ip_blacklist:get(ip) then
  88.     return ngx.exit(ngx.HTTP_FORBIDDEN)
  89. end

用户redis客户端设置:
添加黑名单IP:
sadd limit:ip:blacklist 10.11.0.148

获取黑名单IP:
smembers limit:ip:blacklist

10.11.0.215:6379> sadd limit:ip:blacklist 10.11.0.148
10.11.0.215:6379> sadd limit:ip:blacklist 10.11.0.215

10.11.0.215:6379> smembers limit:ip:blacklist
1) "10.11.0.215"
2) "10.11.0.148"
10.11.0.215:6379> smembers limit:ip:blacklist
1) "10.11.0.215"
2) "10.11.0.148"

此方法目前只能实现手动添加黑名单IP进行IP封禁,在某些场景如:半夜如果有人恶意爬取网站服务器可能导致服务器资源耗尽崩溃或者影响业务

下面是改进后的代码,可以实现自动将访问频次过高的IP地址加入黑名单封禁一段时间

nginx.conf配置部分:
location /goodslist {
        set $business "USER";
        access_by_lua_file /usr/local/lua/access_count_limit.lua;
        echo "get goods list success";
    }

lua代码:

[root@node5 lua]# cat /usr/local/luaaccess_count_limit.lua

  1. local function close_redis(red)
  2.     if not red then
  3.         return
  4.     end
  5.  
  6.     local pool_max_idle_time =
  7.     local pool_size =
  8.     local ok, err = red:set_keepalive(pool_max_idle_tme, pool_size)
  9.     if not ok then
  10.         ngx.say("set keepalive err : ", err)
  11.     end
  12. end
  13.  
  14. local ip_block_time= --封禁IP时间(秒)
  15. local ip_time_out=    --指定ip访问频率时间段(秒)
  16. local ip_max_count= --指定ip访问频率计数最大值(秒)
  17. local BUSINESS = ngx.var.business --nginxlocation中定义的业务标识符
  18.  
  19. --连接redis
  20. local redis = require "resty.redis"
  21. local conn = redis:new()
  22. ok, err = conn:connect("10.11.0.215", )
  23. conn:set_timeout() --超时时间2
  24.  
  25. --如果连接失败,跳转到脚本结尾
  26. if not ok then
  27.     --goto FLAG
  28.    close_redis(conn)
  29. end
  30.  
  31. local count, err = conn:get_reused_times()
  32. if  == count then ----新建连接,需要认证密码
  33.     ok, err = conn:auth("redis123")
  34.     if not ok then
  35.         ngx.say("failed to auth: ", err)
  36.         return
  37.     end
  38. elseif err then  ----从连接池中获取连接,无需再次认证密码
  39.     ngx.say("failed to get reused times: ", err)
  40.     return
  41. end
  42.  
  43. --查询ip是否被禁止访问,如果存在则返回403错误代码
  44. is_block, err = conn:get(BUSINESS.."-BLOCK-"..ngx.var.remote_addr)
  45. if is_block == '' then
  46.     ngx.exit()
  47.     close_redis(conn)
  48. end
  49.  
  50. --查询redis中保存的ip的计数器
  51. ip_count, err = conn:get(BUSINESS.."-COUNT-"..ngx.var.remote_addr)
  52.  
  53. if ip_count == ngx.null then --如果不存在,则将该IP存入redis,并将计数器设置为1、该KEY的超时时间为ip_time_out
  54.     res, err = conn:set(BUSINESS.."-COUNT-"..ngx.var.remote_addr, )
  55.     res, err = conn:expire(BUSINESS.."-COUNT-"..ngx.var.remote_addr, ip_time_out)
  56. else
  57.     ip_count = ip_count +  --存在则将单位时间内的访问次数加1
  58.  
  59.     if ip_count >= ip_max_count then --如果超过单位时间限制的访问次数,则添加限制访问标识,限制时间为ip_block_time
  60.         res, err = conn:set(BUSINESS.."-BLOCK-"..ngx.var.remote_addr, )
  61.         res, err = conn:expire(BUSINESS.."-BLOCK-"..ngx.var.remote_addr, ip_block_time)
  62.     else
  63.         res, err = conn:set(BUSINESS.."-COUNT-"..ngx.var.remote_addr,ip_count)
  64.         res, err = conn:expire(BUSINESS.."-COUNT-"..ngx.var.remote_addr, ip_time_out)
  65.     end
  66. end
  67.  
  68. -- 结束标记
  69. local ok, err = conn:close()

# redis的数据
10.11.0.215:6379> get USER-COUNT-10.11.0.148
"16"
10.11.0.215:6379> get USER-BLOCK-10.11.0.148
(nil)


  1. 四、总结
  2.  
  3. 以上,便是 Nginx+Lua+Redis 实现的 IP 黑名单功能,具有如下优点:
  4.  
  5. 1、配置简单、轻量,几乎对服务器性能不产生影响;
  6.  
  7. 2、多台服务器可以通过Redis实例共享黑名单;
  8.  
  9. 3、动态配置,可以手工或者通过某种自动化的方式设置 Redis 中的黑名单。

openresty开发系列38--通过Lua+Redis 实现动态封禁IP的更多相关文章

  1. Nginx 通过 Lua + Redis 实现动态封禁 IP

    一.背景 为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单.对于黑名单之内的 IP ,拒绝提供服务. 二.架构 实现 IP 黑名单的功能有很多途径: 1.在操作系统层面 ...

  2. openresty开发系列27--openresty中封装redis操作

    openresty开发系列27--openresty中封装redis操作 在关于web+lua+openresty开发中,项目中会大量操作redis, 重复创建连接-->数据操作-->关闭 ...

  3. openresty开发系列26--openresty中使用redis模块

    openresty开发系列26--openresty中使用redis模块 在一些高并发的场景中,我们常常会用到缓存技术,现在我们常用的分布式缓存redis是最知名的, 操作redis,我们需要引入re ...

  4. openresty开发系列24--openresty中lua的引入及使用

    openresty开发系列24--openresty中lua的引入及使用 openresty 引入 lua 一)openresty中nginx引入lua方式 1)xxx_by_lua   ---> ...

  5. openresty开发系列40--nginx+lua实现获取客户端ip所在的国家信息

    openresty开发系列40--nginx+lua实现获取客户端ip所在的国家信息 为了实现业务系统针对不同地区IP访问,展示包含不同地区信息的业务交互界面.很多情况下系统需要根据用户访问的IP信息 ...

  6. openresty开发系列37--nginx-lua-redis实现访问频率控制

    openresty开发系列37--nginx-lua-redis实现访问频率控制 一)需求背景 在高并发场景下为了防止某个访问ip访问的频率过高,有时候会需要控制用户的访问频次在openresty中, ...

  7. openresty开发系列28--openresty中操作mysql

    openresty开发系列28--openresty中操作mysql Mysql客户端   应用中最常使用的就是数据库了,尤其mysql数据库,那openresty lua如何操作mysql呢?   ...

  8. openresty开发系列10--openresty的简单介绍及安装

    openresty开发系列10--openresty的简单介绍及安装 一.Nginx优点 十几年前,互联网没有这么火,软件外包开发,信息化建设,帮助企业做无纸化办公,收银系统,工厂erp,c/s架构偏 ...

  9. openresty开发系列36--openresty执行流程之6日志模块处理阶段

    openresty开发系列36--openresty执行流程之6日志模块处理阶段 一)header_filter_by_lua 语法:header_filter_by_lua <lua-scri ...

随机推荐

  1. python测试开发django-42.xadmin自定义菜单项

    前言 xadmin后台的菜单项是放到一个app下的,并且里面的排序是按字母a-z排序,有时候我们需要划分多个项,需要自定义菜单列表,可以通过重写CommAdminView类实现.xadmin后台提供了 ...

  2. 进程间通信之数据传输--FIFO

    One of the fundamental features that makes Linux and other Unices useful is the “pipe”. Pipes allow ...

  3. 计算机网络基础之IP地址详解

    计算机网络基础之IP地址详解 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.IP地址概述 1>.什么是IP地址 我们为什么要使用逻辑地址(IP地址)来标识网络设备,而不采 ...

  4. Linux必知必会--grep

    花更少的时间,去验证一件事情:你到底是富翁,还是贫民. --一位历经沧桑的炒客 转自:https://man.linuxde.net/grep grep命令 grep(global search re ...

  5. 如何更改Scratch3.0的LOGO

    1.用visual studio code打开文件夹scratch-gui-develop 找到SRC\components\menu-bar 方法1:制作图片更换掉图片scratch-logo.sv ...

  6. O(n) 取得数组中每个元素右边最后一个比它大的元素

    题目 2019.9.7,icpc徐州网络赛的E题 XKC's basketball team ,计蒜客上还可以做. 链接:https://nanti.jisuanke.com/t/41387 Inpu ...

  7. VS2005编译QT4.8.2

    为什么要编译? 因为安装安装版的QT4.8.2,vs2005编译报错. 1.下载QT4.8.2,qt-everywhere-opensource-src-4.8.2.zip,下载vs-AddIn1.1 ...

  8. DT系统研究之-自定义新建函数

    说说在destoon中,我们二次开发时新建的函数应该放哪里好? 发现部分同学,在学习研究destoon过程中,新建的一些php函数直接放在模块里面,须知这样放置的话,会产生些不良后果. 首先,新建的该 ...

  9. Navicat 的使用 —— 快捷键

    名称 功能 备注 Ctrl+Q 打开查询窗口   Ctrl+/  注释sql语句   Ctrl+R  运行查询窗口的sql语句   Ctrl+Shift+R 只运行选中的sql语句   F6  打开一 ...

  10. 黑马2017年java就业班全套视频教程

    黑马程序员培训班 黑马2017年java就业班全套视频教程 ava学习路线图.pptx等多个文件   - 2019-07-20 10:03     老师分享的资料 - 2019-07-20 10:03 ...