高频访问IP限制 --Openresty(nginx + lua) [反爬虫之旅] - Silbert Monaphia - CSDN博客 https://blog.csdn.net/qq_29245097/article/details/77461719

我不准备在web应用中做ip的统计和查封,应用就应该只做业务功能,这些基础东西应该由我们应用的前部——专业的Nginx实现

Nginx本身就有根据ip访问频率的设置,比如“服务器访问频率限制和IP限制”就有提到。不过Nginx只能强硬地返回个403状态码什么的,但是我们这次ip封禁时间比较久,那么如果误伤到用户,我们仅仅强硬地返回个403,用户将会毫无办法证明自己是人,然后要等很久,那就伤用户就伤得很深了,因此我们需要一种可以让被误伤的用户能及时自行解封的策略,验证码就是一个不错的选择,可是Nginx该怎么接入验证码呢?

-anti_spider

  -conf/

     -nginx.conf

  -lua/

     -access.lua

  -log/

     -error.log

  -geetest_web/

     -demo/

     -sdk/

     -geetest.py

     -setup.py

     -requirements.txt

  





worker_processes  ;

error_log logs/error.log;

events {

    worker_connections ;

}

http {

    server {

        listen ;

        location / {

            access_by_lua_file 'lua/access.lua';

            content_by_lua 'ngx.say("Welcome PENIS!")';

        }

    }

}




access.lua




-- package.path = '/usr/local/openresty/nginx/lua/?.lua;/usr/local/openresty/nginx/lua/lib/?.lua;'

-- package.cpath = '/usr/local/openresty/nginx/lua/?.so;/usr/local//openresty/nginx/lua/lib/?.so;'

-- 连接redis

local redis = require 'resty.redis'

local cache = redis.new()

local ok ,err = cache.connect(cache,'127.0.0.1','6379')

cache:set_timeout(60000)

-- 如果连接失败,跳转到label处

if not ok then

  goto label

end

-- 白名单

is_white ,err = cache:sismember('white_list', ngx.var.remote_addr)

if is_white == 1 then

  goto label

end

-- 黑名单

is_black ,err = cache:sismember('black_list', ngx.var.remote_addr)

if is_black == 1 then

  ngx.exit(ngx.HTTP_FORBIDDEN)

  goto label

end

-- ip访问频率时间段

ip_time_out = 60

-- ip访问频率计数最大值

connect_count = 45

-- 60s内达到45次就ban

-- 封禁ip时间(加入突曲线增长算法)

ip_ban_time, err = cache:get('ip_ban_time:' .. ngx.var.remote_addr)

if ip_ban_time == ngx.null then

  ip_ban_time = 300

  res , err = cache:set('ip_ban_time:' .. ngx.var.remote_addr, ip_ban_time)

  res , err = cache:expire('ip_ban_time:' .. ngx.var.remote_addr, 43200) -- 12h重置

end

-- 查询ip是否在封禁时间段内,若在则跳转到验证码页面

is_ban , err = cache:get('ban:' .. ngx.var.remote_addr)

if tonumber(is_ban) == 1 then

  -- source携带了之前用户请求的地址信息,方便验证成功后返回原用户请求地址

  local source = ngx.encode_base64(ngx.var.scheme .. '://' ..

    ngx.var.host .. ':' .. ngx.var.server_port .. ngx.var.request_uri)

  local dest = 'http://127.0.0.1:5000/' .. '?continue=' .. source

  ngx.redirect(dest,302)

  goto label

end

-- ip记录时间key

start_time , err = cache:get('time:' .. ngx.var.remote_addr)

-- ip计数key

ip_count , err = cache:get('count:' .. ngx.var.remote_addr)

-- 如果ip记录时间的key不存在或者当前时间减去ip记录时间大于指定时间间隔,则重置时间key和计数key

-- 如果当前时间减去ip记录时间小于指定时间间隔,则ip计数+1,

-- 并且ip计数大于指定ip访问频率,则设置ip的封禁key为1,同时设置封禁key的过期时间为封禁ip时间

if start_time == ngx.null or os.time() - tonumber(start_time) > ip_time_out then

  res , err = cache:set('time:' .. ngx.var.remote_addr , os.time())

  res , err = cache:set('count:' .. ngx.var.remote_addr , 1)

else

  ip_count = ip_count + 1

  res , err = cache:incr('count:' .. ngx.var.remote_addr)

  -- 统计当日访问ip集合

  res , err = cache:sadd('statistic_total_ip:' .. os.date('%x'), ngx.var.remote_addr)

  if ip_count >= connect_count then

    res , err = cache:set('ban:' .. ngx.var.remote_addr , 1)

    res , err = cache:expire('ban:' .. ngx.var.remote_addr , ip_ban_time)

    res , err = cache:incrby('ip_ban_time:' .. ngx.var.remote_addr, ip_ban_time)

    -- 统计当日屏蔽ip总数

    res , err = cache:sadd('statistic_ban_ip:' .. os.date('%x'), ngx.var.remote_addr)

  end

end

::label::

local ok , err = cache:close()





  
												


											
高频访问IP弹验证码架构图 让被误伤的用户能及时自行解封的策略的更多相关文章
	

    
								
  1. Linux上的ftp服务器vsftpd之配置满天飞--设置匿名用户访问(不弹出用户名密码框)以及其他用户可正常上传
		
    一.问题背景 没事谁折腾这鬼玩意哦...还不是因为bug. 我们的应用,用户头像是存在ftp上的.之前的ftp服务器是一台windows,我们后台服务器程序收到用户上传头像的请求时,会用一个ROOT/ ...
    
		
    2. 
						
  2. 网络知识--OSI七层网络与TCP/IP五层网络架构及二层/三层网络
		
    作为一个合格的运维人员,一定要熟悉掌握OSI七层网络和TCP/IP五层网络结构知识. 废话不多说!下面就逐一展开对这两个网络架构知识的说明:一.OSI七层网络协议OSI是Open System Int ...
    
		
    3. 
						
  3. 网络知识梳理--OSI七层网络与TCP/IP五层网络架构及二层/三层网络(转)
		
     reference:https://www.cnblogs.com/kevingrace/p/5909719.html https://www.cnblogs.com/awkflf11/p/9190 ...
    
		
    4. 
						
  4. Linux(7)- Nginx.conf主配置文件、Nginx虚拟主机/访问日志/限制访问IP/错误页面优化、Nginx反向代理、Nginx负载均衡
		
    一.Nginx.conf主配置文件 Nginx主配置文件conf/nginx.conf是一个纯文本类型的文件,整个配置文件是以区块的形式组织的.一般,每个区块以一对大括号{}来表示开始与结束. 核心模 ...
    
		
    5. 
						
  5. java异常架构图 和几个面试题
		
    1.java异常架构图 粉红色的是受检查的异常(checked exceptions),其必须被 try{}catch语句块所捕获,或者在方法签名里通过throws子句声明.受检查的异常必须在编译时被 ...
    
		
    6. 
						
  6. C# C/S系统软件开发平台架构图(原创)
		
    企业版V4.0 - 架构图 企业版V4.0 - 桥接功能.后台连接策略 桥接功能是指应用策略模式,由用户配置本地INI文件选择ADO直连(ADO-Direct)或者调用WCF服务接口访问远程服务器后台 ...
    
		
    7. 
						
  7. FastDFS简介和架构图(内容来自于阅读fastdfs官方文档的总结)
		
    一.FastDFS简介 1. FastDFS是一个轻量级的开源分布式文件系统 2. FastDFS主要解决了大容量的文件存储和高并发访问的问题,文件存取时实现了负载均衡 3. FastDFS实现了软件 ...
    
		
    8. 
						
  8. centos服务器如何监控访问ip,并将非法ip通过防火墙禁用
		
    centos服务器如何监控访问ip,并将非法ip通过防火墙禁用 上周给朋友帮忙,上架了一款小游戏(年年有鱼),项目刚一上线,就遇到了ddos攻击,阿里云连续给出了6次ddos预警提示,服务器一度处于黑 ...
    
		
    9. 
						
  9. 纯净得只剩下字的访问IP查询API
		
    纯净得只剩下字的访问IP查询API 实用资源 / 2018-02-26 / 3 条评论 看到一个好玩的,就随手收藏一下,本API作用:获取用户真实IP,而获取用户IP常见的坑有两个,开发支付的时候也需 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 格局中@null的代码实现方式
			
    布局中通常会用到@null.如RadioButton常用的技巧通过RadioGroup实现Tab,需要设置android:button="@null".如果要在代码中动态创建控件, ...
    
			
    2. 
						
  2. HttpClient传递Cookie
			
    使用代码访问http资源,我们通常用WebRequest,当然,HttpClient提供了更方便的封装,我用得更多.只是碰到一些需要(cookie)鉴权的情况,需要把cookie伴随请求一起发到服务器 ...
    
			
    3. 
						
  3. 【python】多进程多线程
			
    import threading import multiprocessing class MultiThread(threading.Thread): def __init__(self,func, ...
    
			
    4. 
						
  4. SQLite学习手册
			
    在实际的应用中,SQLite作为目前最为流行的开源嵌入式关系型数据库,在系统的架构设计中正在扮演着越来越为重要的角色.和很多其它嵌入式NoSQL数据库不同的是,SQLite支持很多关系型数据库的基本特 ...
    
			
    5. 
						
  5. windows,cmd中进行盘符的切换
			
    需求描述: 在工作中,有的时候需要在cmd中进行盘符的切换,以前总有些时候 通过cd来切,就是切换不过去,每次都要进行百度查询,所以,这次就记录下, 留着以后再用. 操作过程: 1.通过win+r-& ...
    
			
    6. 
						
  6. 给嵌入式ARM+Linux的初学者
			
    http://blog.csdn.net/lucykingljj/article/details/40619671
    
			
    7. 
						
  7. mybatis由浅入深day02_9.3.5使用生成的代码_9.4逆向工程注意事项
			
    9.3.5 使用生成的代码 需要将生成工程中所生成的代码拷贝到自己的工程中. 拷这4个到我们原来的spring_mybatis1216工程下 ItemsMapper.java package cn.i ...
    
			
    8. 
						
  8. Intel S5000VSA(SAS)主板设置RAID 步骤【转】
			
    Intel S5000VSA(SAS)主板设置RAID 步骤 我近日亲自安 装了一台服务器,用的是intel S5000VSA 4DIMM主板,因为在安装过程中没有注意到一些细节,所以在安装时碰到了一 ...
    
			
    9. 
						
  9. linux系统UDP的socket通信编程3
			
    我刚开始接触linux下的socket编程,边抄边理解udp socket编程,我的疑问是server不指定IP地址,client的目标IP地址是127.0.0.1,这样就可以通信吗?在同一主机下是不 ...
    
			
    10. 
						
  10. windows下配置nutch注意的问题
			
    1.为处理方便,直接在$nutch目录下创建一个名为url.txt文件,然后在文件里添加要搜索的网址,例如:http://www.sina.com.cn/,注意网址最后的"/"一定 ...
    
			
    11.