OpenResty(nginx扩展)实现防cc攻击

导读 OpenResty 通过汇聚各种设计精良的 Nginx 模块(主要由 OpenResty 团队自主开发),从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统
流程图

本文介绍使用openresty来实现防cc攻击的功能。openresty官网http://openresty.org/cn/index.html。下面是防cc攻击的流程图。
根据流程图,我们知道防cc攻击主要包括两部分,一是限制请求速度,二是给用户发送js跳转代码进行验证请求是否合法。

安装依赖

RHEL/Centos:

yum install readline-devel pcre-devel openssl-devel

ubuntu:

apt-get install libreadline-dev libncurses5-dev libpcre3-dev libssl-dev perl
luajit安装
    cd /tmp/

    git clone http://luajit.org/git/luajit-2.0.git

    cd luajit-2.0/

    make && make install

    ln -sf luajit-2.0.0-beta10 /usr/local/bin/luajit

    ln -sf /usr/local/lib/libluajit-5.1.so.2 /usr/lib/
openresty安装
    cd /tmp

    wget http://agentzh.org/misc/nginx/ngx_openresty-1.2.4.13.tar.gz

    tar xzf ngx_openresty-1.2.4.13.tar.gz

    cd ngx_openresty-1.2.4.13/

    ./configure --prefix=/usr/local/openresty --with-luajit

    make && make install
nginx配置

nginx.conf:

    http{

    [......]

    lua_shared_dict limit 10m;

    lua_shared_dict jsjump 10m;

        server {

    #lua_code_cache off;

            listen       80;

            server_name  www.centos.bz;

            location / {

    default_type  text/html;

    content_by_lua_file "/usr/local/openresty/nginx/conf/lua";

            }

            location @cc {

                internal;

                root   html;

                index  index.html index.htm;

            }

        }

    }

/usr/local/openresty/nginx/conf/lua文件:

    local ip = ngx.var.binary_remote_addr

    local limit = ngx.shared.limit

    local req,_=limit:get(ip)

    if req then

            if req > 20 then

                    ngx.exit(503)

            else

                    limit:incr(ip,1)

            end

    else

            limit:set(ip,1,10)

    end

    local jsjump = ngx.shared.jsjump

    local uri = ngx.var.request_uri

    local jspara,flags=jsjump:get(ip)

    local args = ngx.req.get_uri_args()

    if jspara then

        if flags then

            ngx.exec("@cc")

        else

                    local p_jskey=''

                    if args["jskey"] and type(args["jskey"])=='table' then

                             p_jskey=args["jskey"][table.getn(args["jskey"])]

                    else

                             p_jskey=args["jskey"]

                    end

            if p_jskey and p_jskey==tostring(jspara) then

                            jsjump:set(ip,jspara,3600,1)

                            ngx.exec("@cc")

            else

                            local url=''

                            if ngx.var.args then

                                   url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..jspara

                            else

                                   url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..jspara

                            end

                            local jscode="window.location.href='"..url.."';"

                            ngx.say(jscode)

            end

        end

    else

    math.randomseed( os.time() );

        local random=math.random(100000,999999)

        jsjump:set(ip,random,60)

        local url=''

        if ngx.var.args then

            url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..random

        else

            url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..random

        end

        local jscode="window.location.href='"..url.."';"

        ngx.say(jscode)

    end

lua代码部分解释:
1、1-12行是限速功能实现,第5和第10行表示10秒钟内容最多只能请求20次。
2、14-48行是验证部分,24行中的3600表示验证通过后,白名单时间为3600秒,即1小时。

update: 2013.5.26
1、修复JS无限跳转bug
2、增加随机种子

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:https://www.linuxprobe.com/

OpenResty(nginx扩展)实现防cc攻击的更多相关文章

  1. nginx利用limit模块设置IP并发防CC攻击

    nginx利用limit模块设置IP并发防CC攻击 分类: 系统2013-01-21 09:02 759人阅读 评论(0) 收藏 举报 来源:http://blog.xencdn.net/nginx- ...

  2. 防cc攻击利器之Httpgrard

    一.httpgrard介绍 HttpGuard是基于openresty,以lua脚本语言开发的防cc攻击软件.而openresty是集成了高性能web服务器Nginx,以及一系列的Nginx模块,这其 ...

  3. 使用Nginx的配置对cc攻击进行简单防御

    ddos攻击:分布式拒绝服务攻击,就是利用大量肉鸡或伪造IP,发起大量的服务器请求,最后导致服务器瘫痪的攻击. cc攻击:类似于ddos攻击,不过它的特点是主要是发起大量页面请求,所以流量不大,但是却 ...

  4. linux中防CC攻击两种实现方法(转)

    CC攻击就是说攻击者利用服务器或代理服务器指向被攻击的主机,然后模仿DDOS,和伪装方法网站,这种CC主要是用来攻击页面的,导致系统性能用完而主机挂掉了,下面我们来看linux中防CC攻击方法. 什么 ...

  5. 使用Discuz!自带参数防御CC攻击以及原理,修改Discuz X 开启防CC攻击后,不影响搜索引擎收录的方法

    这部份的工作,以前花的时间太少. 希望能产生一定的作用. http://www.nigesb.com/discuz-cc-attacker-defence.html http://bbs.zb7.co ...

  6. PHP防CC攻击代码

    PHP防CC攻击代码: empty($_SERVER['HTTP_VIA']) or exit('Access Denied'); //代理IP直接退出 session_start(); $secon ...

  7. 防cc攻击策略

    黑客攻击你的网站,会采取各种各样的手段,其中为了降低你网站的访问速度,甚至让你的服务器瘫痪,它会不断的刷新你的网站,或者模拟很多用户同一时间大量的访问你的网站, 这就是所谓的CC攻击,这就需要我们在程 ...

  8. Linux系统防CC攻击自动拉黑IP增强版Shell脚本 《Linux系统防CC攻击自动拉黑IP增强版Shell脚本》来自张戈博客

    前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个 ...

  9. Nginx 防CC攻击拒绝代理访问

    先大概说说简单的结构…前端一个Nginx反向代理,后端一个Nginx instance app for PHP…实际上就是个Discuz,之前面对CC攻击都是预警脚本或者走CDN,但是这次攻击者不再打 ...

随机推荐

  1. 前N个自然数的随机置换

    来自:[数据结构与算法分析——C语言描述]练习2.7 问题描述:假设需要生成前N个自然数的一个随机置换.例如,{4,1,2,5,2}和{3,1,4,2,5}就是合法的置换,但{5,4,1,2,1}却不 ...

  2. knowledge

  3. SpriteKit

    [SpriteKit] Sprite Kit provides a graphics rendering and animation infrastructure that you can use t ...

  4. 树上的DP

    CF#196B http://codeforces.com/contest/338/problem/B 题意:在一颗树上,给m个点,求到所有m个点距离不超过d的点的个数,所有路径长度为1. 分析:问题 ...

  5. 学习总结(annotation)

    自定义MyAnnotationTest package com.zhanghaobo.annotation; import java.lang.annotation.ElementType; impo ...

  6. 启动tomcat时 一闪而过解决方法

    1 首先确定JAVA 已经配好了环境变量,具体配置方法,找一下度娘. 测试方法:进入cmd -> javac -version 能看到JAVA的版本信息,证明配置成功了. 2 分析一下问题出现的 ...

  7. (剑指Offer)面试题36:数组中的逆序对

    题目: 在数组中的两个数字,如果前面一个数字大于后面的数字,则这两个数字组成一个逆序对.输入一个数组,求出这个数组中的逆序对的总数. 思路: 1.顺序扫描 顺序扫描整个数组,每扫描到一个数字,就将该数 ...

  8. 5.迪米特法则(Law Of Demeter)

    1.定义 狭义的迪米特法则定义:也叫最少知识原则(LKP,Least Knowledge Principle).如果两个类不必彼此直接通信,那么这两个类就不应当发生直接的相互作用.如果其中的一个类需要 ...

  9. Linux下MySQL5.6的修改字符集编码为UTF8

    一.登录MySQL查看用SHOW VARIABLES LIKE 'character%';下字符集,显示如下: +--------------------------+---------------- ...

  10. HITAG 2 125kHz RFID IC Read-Write 256 bits

    Features 256 bits EEPROM memory organized in 8 pages of 32 bits each 32 bits unique factory programm ...