简介
自从某公司使用短信验证码验证用户真实性以来,短信便逐渐成了公司业务的标配。现在几乎每家公司的服务都包含了短信发送这一功能。而用户请求短信时,一般还未注册,所以这个接口是匿名接口(不需要登录)。
于是,坏蛋们就开始捣蛋了。他们通过对软件抓包,得到用户的请求消息,然后模拟用户对服务器疯狂的发送这一请求,消耗公司的短信资源,骚扰无辜手机用户,甚至造成短信通道堵塞,无法发出正常消息。搞不好还被那些被骚扰者的投诉,封掉公司的短信通道,或者被各手机厂商识别为垃圾短信从而失去营销效果,甚至影响正常业务。
今天,我就遇到这么个捣蛋鬼。他的手里有大约上千台肉鸡(科普一下:“肉鸡”是指那些可以被黑客操控的无辜者的电脑,这些电脑用户并不知情。之所以可以被操控,可能是因为安装了有木马程序的软件,或者系统存在漏洞被攻破),于是模拟消息从全国铺天盖地而来,服务器日志疯狂刷屏。于是,我们立刻着手处理这件事情。
解决策略
我们想到了两种策略:
- 使用iptables封IP
- 使用nginx lua + redis
两种方案各有好处,如果访问量不大的话,任选其一即可,如果访问量极高,就需要酌情考虑了。
我们采取的策略是第二种:
- 使用嵌入到nginx中的lua程序对用户请求(仅限短信)+IP进行限定,使其:
- 在1分钟内的请求只允许发送1次短信
- 如果一分钟内超过1次,但在3次以内,则不发送短信,并给与警告
- 如果一分钟内超过3次,则禁止这个IP的任何访问
- 使用redis保存这些被封IP以及带时限的接口请求,以免nginx无法定义全局变量。这样,nginx就可以实现:
- 对IP是否允许放行的检查
- 令1分钟前的IP访问记录自动过期
刚开始我们也使用了第一种,将这些IP直接加入到iptables中去,从内核层面封掉这些IP,只是我们觉得解封起来比较麻烦,而且无法与我们的软件集成,尤其是很难实现逻辑集成(区别接口,允许1分钟1次,3次以上才封IP),遂使用nginx+redis的方案,毕竟lua程序可以写成我想要的逻辑。
实现
假如我们发送短信的接口是 /sendSms
在nginx.conf文件的 server
段内新建一个location
块,使其匹配正则表达式 ~* sendSms
,然后开始写代码吧:
location ~* sendSms {
default_type 'application/json; charset=UTF-8';
lua_need_request_body on;
access_by_lua '
-- 为了lua代码可以语法高亮,这里的内容放在后一个代码块,请自行复制到此处即可
';
proxy_pass http://app_backend;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass_header Origin;
}
下面的lua代码请复制到上文单引号内:
-- ngx.exit(ngx.OK)
local cjson = require "cjson"
local ip = ngx.var.remote_addr
if ngx.var.http_user_agent ~= nil or ngx.var.http_user_agent == "" then
local agent = string.lower(ngx.var.http_user_agent)
-- ngx.say("user agent:", ngx.var.http_user_agent)
-- ngx.exit(200)
local sIdx = string.find(agent, "httpclient") or string.find(agent, "java")
-- ngx.say("sIdx:", sIdx)
if (sIdx ~= nil) then
ngx.status = ngx.HTTP_FORBIDDEN
local msg = "你把硬盘拿过来,我直接把数据库给你拷贝一份吧,这样太慢了,我都急死了"
ngx.say(cjson.encode({code=16, msg=msg, R=cjson.null}))
ngx.exit(ngx.status)
return
end
end
local redis = require "resty.redis"
local red = redis.new()
red:set_timeout(1000)
local ok, err = red:connect("127.0.0.1", 6379)
if not ok then
ngx.status = ngx.HTTP_INTERNAL_SERVER_ERROR
ngx.say("failed to connect: ", err)
return
end
local forbidden, err1 = red:sismember("fbdIP", ip)
-- ngx.say("forbidden:", forbidden)
if forbidden == 1 then
ngx.status = ngx.HTTP_FORBIDDEN
local msg = "你把硬盘拿过来,我直接把数据库给你拷贝一份吧,这样太慢了,我都急死了"
ngx.say(cjson.encode({code=16, msg=msg, R=cjson.null}))
ngx.exit(ngx.status)
return
end
local key = "ip::" .. ip
-- ngx.say("key:", key)
local ttl, err1 = red:ttl(key)
if ttl == -1 then
red:del(key)
end
local res, err = red:get(key)
red:incr(key)
if (not res) or (res == ngx.null) then
--[[
local msg = "failed to get cache"
ngx.say(cjson.encode({code=16, msg=msg, R=cjson.null}))
--]]
red:expire(key, 55) -- 55秒内不允许同一IP超过30次访问
ngx.exit(ngx.OK)
elseif tonumber(res) < 1 then
ngx.exit(ngx.OK)
elseif tonumber(res) >= 1 then
ngx.status = 200
-- ngx.say("redis result is string 1")
-- local msg = "我们认为你有恶意请求的嫌疑,请不要使用及其程序进行访问"
local msg = "慢点,无影手得多累啊"
ngx.say(cjson.encode({code=16, msg=msg, R=cjson.null}))
if tonumber(res) > 10 then
red:sadd("fbdIP", ip)
end
ngx.exit(ngx.status)
return
end
解释
- 前面对key的检查不止使用了
get()
,还使用了ttl()
,是因为redis的过期回收策略使用的是一种近似LRU算法,导致一定概率的不删除,所以使用ttl进行检查。
前提
在大家读到这篇文章的时候,我要顺便说一下这个方案适用的前提。如果没有这些前提,那这个方案对你就不可用,当然,解决思路也许可以有些帮助,如果你善于动手的话,很快也能弄好自己的解决方法。我们的系统满足以下几个条件:
- 当然是使用nginx做前端代理的web架构了
- 使用支持lua的nginx。直接从nginx官网下载按照的nginx是不支持的,需要额外下载lua代码,并编译到nginx中去。或者直接使用openresty
建议
由于之前redis有个可以拿到root权限的漏洞,所以:
- 务必要对redis设置访问密码
- 最好将redis服务的绑定IP限定在内网IP上
redis 的key千万不能被污染,否则正常用户的IP会被误伤封禁。
工具
在解决这个问题的时候,我们也是用废了很多脑细胞的,为了节省你的脑细胞,我就免费让你看看。
怎么得知坏蛋在攻击我的服务器呢?
我的办法是:
通过将日志内所有对/sendSms
接口的调用IP进行统计,找到那些调用次数比较多的,比如大于10次的。用这个命令就好了:
grep "POST /sendSms" logs/ikuaiyue.log | awk '{print $6}' | sed s/IP:// | sort | uniq -c | awk '{print $1 "\t" $2}' | sort -n
然后就会看到这样的结果:
1 115.205.13.179
2 117.136.40.20
2 117.136.94.44
2 117.59.39.22
122 223.104.10.28
第一列是此IP的调用次数,第二列你懂。
好了,现在知道改怎么办了吧?
顺便说一下,我们的日志是这个样子滴:
[2016-05-30 01:25:20.451] [INFO] normal - IP:117.174.26.32 POST /sendSms
[2016-05-30 01:26:17.918] [INFO] normal - IP:117.174.26.32 POST /sendSms
...
稍微解释下上面的命令:
grep "POST /sendSms" logs/ikuaiyue.log
| awk '{print $6}' #按空格分割后的第6列(即IP:117.174.26.32)
| sed s/IP:// #删除字符"IP:"
| sort #排序
| uniq -c #去重,并记下重复数,相当与做了个统计操作
#此时重复数字为第一列,IP被放在了第二列.
#但此时格式上有个问题:首列数字是右对齐的
| awk '{print $1 "\t" $2}' #为了解除其右对齐,重新打印以便,并以tab分隔
| sort -n #以首列为依据排序。-n表示当做数字来排列,默认是当做字符串的
当你按我的方法设置好了nginx后,怎么知道有没有起作用呢?
把刚刚那个命令改改,只输出最后3000行(具体数字看你的业务繁忙程度了)用做统计:
tail -n3000 logs/ikuaiyue.log | grep "POST /sendSms" | awk '{print $6}' | sed s/IP:// | sort | uniq -c | awk '{print $1 "\t" $2}' | sort -n