OpenResty--搭建简单的CC防护

最新推荐文章于 2024-06-04 07:22:16 发布

csdncqmyg

最新推荐文章于 2024-06-04 07:22:16 发布

阅读量1.4k

点赞数

分类专栏： Openresty 文章标签： openresty linux lua

本文链接：https://blog.csdn.net/csdncqmyg/article/details/75648074

版权

Openresty 专栏收录该内容

4 篇文章 0 订阅

订阅专栏

说明:写在前面，本防护思路为设定阈值和时间段，在记录每个IP访问+uri（可不加，因为考虑到了不同的接口访问次数也许会有不同）的次数，在单位时间段内超过所设定阈值返回403，并将其IP封禁一段时间。

用到的ngx_lua模块：

ngx.var
ngx.shared.DICT

先编写ngx.conf配置文件：

http{
    ....
    lua_shared_dict cc_dict 50m; #大小根据业务访问量来定
    ....
server{
    ....
    access_by_lua_file path/to/your/luacode/access.lua；
    ....
}
}

编写access.lua

local cc_dict=ngx.shared.cc_dict
local access_ip=ngx.var.remote_addr
local access_uri=ngx.var.uri
local policy_table={
    api_1={
        uri="/test1",
        threshold=20,
        period=2
    },
    api_2={
        uri="/test2",
        threshold=30,
        period=1
    },
    default={
        threshold=10,
        period=1
    }
}

--anti_CC module
local cc_policy_table=nil
for k,v in pairs(policy_table) do
    if v.uri==access_uri then
        cc_policy_table=v
        break
    end
end
if not cc_policy_table then
    cc_policy_table=policy_table["default"]
end
local threshold=cc_policy_table.threshold
local time_period=cc_policy_table.period
local forbidden_ip,status=cc_dict:get("forbidden ip"..access_ip)
if forbidden_ip==1 then
    ngx.exit(ngx.HTTP_FORBIDDEN)
end
local visit_num,status=cc_dict:get(access_ip)
if visit_num then
    if visit_num>=threshold then
        cc_dict:set("forbidden ip"..access_ip,1,10)
        ngx.exit(ngx.HTTP_FORBIDDEN)
    else
        cc_dict:incr(access_ip,1)
    end
else
    cc_dict:set(access_ip,1,time_period)
end

保存运行即可，可以用apache-jmter测试下是否有效。