Ngx+Lua+Redis 实时IP黑名单系统

已于 2024-10-08 17:44:39 修改
阅读量390 收藏 3
点赞数
分类专栏: linux 文章标签: lua redis 开发语言 nginx
于 2024-10-08 17:22:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hangbobo/article/details/142763400
版权

实时黑名单系统,如果用php脚本实现很容易,但是效率惨不忍睹呀。
要想速度快还的在nginx层实现阻塞。如果iptables 层阻塞速度更快,但是黑名单列表如果有更新就必须要重载配置,实现还是有难度的。php管理后台把黑名单ip写入到redis,nginx层使用lua脚本去redis查询ip是否在黑名单里,实现实时控制。

OpenResty就是嵌入了LuaJIT VM的Nginx,LuaJIT即采用C语言写的Lua代码的解释器。熟悉简单的Lua语言和nginx基础知识就可以上手开发简单功能了。

你可以单独安装OpenResty,如果是宝塔面板也可以直接切换版本 nginx openresty



直接上代码。
整个系统的瓶颈在redis,我们要优化redis连接,需要连接池。

lua_shared_dict my_cache 10m;
server
{ 
.........

先创建一个内存缓存区,名称:my_cache 容量:10m
ngx+lua 中没有全局变量我们需要把redis的链接函数存储到这个 my_cache 里面使用其他地方使用的时候直接读取缓存里的函数代码,再运行函数得到一个redis连接

local my_cache = ngx.shared.my_cache
local redis_connect_code = my_cache:get("redis_connect")

if not redis_connect_code then
    local function redis_connect()
        local redis = require "resty.redis"
        local redis_host = "127.0.0.1"
        local pool_size = 1000
        red = redis:new()
        red:set_timeout(1000) 
        red:set_pool_size(pool_size)
        red:set_keepalive(10000,pool_size)
        red:connect(redis_host,6379)
        red:auth('635241')
        red:select(1)
        return red
    end
    
    redis_connect_code = string.dump(redis_connect)
    my_cache:set('redis_connect',redis_connect_code)
end

local ip = ngx.var.remote_addr

if ip == '192.168.1.102' then
    ngx.exit(ngx.OK)
end

local redis_connect=loadstring(redis_connect_code)
local red=redis_connect()
red:hincrby('store_ip:01',ip,1)
local blacklist, err=red:sismember("store_ip:black",ip)
if blacklist==1 then
    red:hincrby('store_ip:00',ip,1)
    ngx.exit(444)
end

以上是redis连接池代码好黑名单判断代码
把以上代码存储为 access.lua文件放到 /www/server/nginx/conf/ 目录

nginx站点vhosts配置文件

lua_shared_dict my_cache 10m;
server
{
    listen 80;
    listen 443 ssl;
    http2 on;
    ...........
    
    default_type 'application/json';    
    access_by_lua_file /www/server/nginx/conf/access.lua;

在这里解释一点
default_type 'application/json';  强制返回json格式
access_by_lua_file /www/server/nginx/conf/access.lua; 这个代码就是引入上面的黑名单代码。
为什么不把这个代码放到  location / 里面,这样只阻塞api接口。

location / {
        access_by_lua_file /www/server/nginx/conf/access.lua;       
    } 
这样写似乎更规范?
但是我的项目用的是Laravel框架,这个框架需要伪静态配置,
location / {
    try_files $uri $uri/ /index.php?$query_string;
}
这样就 两个location / {}  配置就冲突了。
可不可以把两个 location / 整合到一个里面,是可以的。
但是这个伪静态需要放在所有 location的最后。而黑名单阻塞需要放到所有location的最前面,那就只能不写location  防到外层 server下,这样缺点是,任何请求都会黑名单阻塞,包括请求静态资源,比如一个图片或css文件都会触发黑名单阻塞。

hangbobo
关注
专栏目录
ngx_lua redis php 比较,Nginx+Lua+Redis访问频率控制
weixin_39534321的博客
03-27 87
0x01.AboutNginx来处理访问控制的方法有多种,实现的效果也有多种,访问IP段,访问内容限制,访问频率限制等。用Nginx+Lua+Redis来做访问限制主要是考虑到高并发环境下快速访问控制的需求。Nginx处理请求的过程一共划分为11个阶段,分别是:post-read、server-rewrite、find-config、rewrite、post-rewrite、 preaccess、...
Nginx Openresty通过Lua+Redis 实现动态封禁IP
乐辞的博客
11-27 2171
为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单中的 IP ,我们将拒绝提供服务。并且可以设置封禁失效时间
蓝易云服务器 - nginx+lua+ngx+redis实现WAF引用web防火墙动态封禁访问频繁的IP
weixin_42303522的博客
07-17 58
Nginx中使用Luangx_lua模块以及Redis实现Web Application Firewall(WAF)动态封禁频繁访问的IP地址,可以通过以下步骤完成:安装Nginxngx_lua模块:首先,确保已经安装Nginx,并编译安装了ngx_lua模块。可以使用openresty(一个集成了Nginxngx...
Ngx+Lua+Redis 快速存储POST数据
最新发布
菠菜的专栏
10-08 249
系统几万台设备有windows有安卓还有linux系统,每个设备三分钟就会向服务器post设备的硬件信息,数据格式json,后台管理界面只需要最新的数据,不需要历史数据,业务逻辑非常简单,PHP代码就几行,已经优化到极致了,但是架不住频率太高了。服务器负载就被这个的简单逻辑给耗尽。做法也很简单就是不用php-fpm,nginx接收到数据,直接把post数据存储到redis里面,供管理后台直接使用。我的设备唯id是,通过header头的”Authorization“ 传递的,你需要结合你你的实际代码。
Nginx 通过 Lua + Redis 实现动态封禁 IP
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
01-24 2621
Nginx 通过 Lua + Redis 实现动态封禁 IP 背景 为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。 架构 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单; 3、在应用层面,在请求服务之前检查一遍客户端 IP 是否在黑名单。 为了方便管
蓝易云:nginx+lua+ngx+redis实现WAF引用web防火墙动态封禁访问频繁的IP
高性价比服务器就选:蓝易云
09-29 227
以上就是使用Nginx+Lua+ngx_lua模块+Redis实现Web防火墙(WAF)动态封禁频繁访问IP的简要步骤。这种方案可以有效地保护Web服务器免受频繁访问和恶意请求的影响。请注意,具体的配置和规则根据实际需求进行调整,以确保WAF的安全性和有效性。中,我们获取客户端IP地址,并以其为键在共享字典中查找该IP的访问次数。如果访问次数超过了设定的限制,则拒绝访问并返回HTTP_FORBIDDEN(403)状态码。上述配置中,我们使用了ngx_lua模块的。,用于存储IP地址的访问次数。
nginx+lua+redis实践
爱笑的boy的博客
12-25 1832
当爬虫影响到我们网站的性能。爬虫的种类:善意的。百度,google。恶意的。恶意窃取网站内容。
docker中的Nginx限流、nginx+redies+lua动态黑名单ip封禁
baidu_39340547的博客
11-09 3569
nginx限流 在http设置中添加限流的设置,20r/s 每个ip每秒允许20次访问。 设置完成后再需要限流的接口中调用该设置。 http{ limit_req_zone $uri zone=api_read:20m rate=20r/s; } server{ location /test/api { limit_req zone=api_read burst=5 nodelay; } nginx配合redis实现ip自动封禁 前提:nginx加载了lua模块 实现lua的docker镜像(
lua + redis 实现动态ip黑名单
wangc_gogo的博客
12-03 1127
lua_shared_dict shared_ip_blacklist 1m; #定义ip_blacklist 本地缓存变量 location /ipblacklist { access_by_lua_file /usr/local/lua/access_by_limit_ip.lua; echo "ipblacklist"; } local function close_re...
nginx+lua+redis黑名单加载
07-25
综上所述,"nginx+lua+redis黑名单加载"是一种有效的网络安全策略,通过利用`nginx`的高性能和`lua`的灵活性,结合`redis`的快速存取能力,能够实时阻止黑名单中的IP进行访问,保护服务器资源和用户数据的安全。...
nginx ip黑名单动态封禁的例子
09-29
本文中提到的实现方式是通过集成lua-nginx-module模块到Nginx中,使用lua语言编写的脚本来操作内存中的IP黑名单数据。 2. 黑名单数据的持久化存储: 本文介绍了将黑名单数据持久化存储到MySQL数据库中的方法。这样...
【Ubuntu18.04】实现redis+lua+nginx动态黑名单封禁
lengyer的博客
12-30 2151
.安装必要环境 apt-get install build-essential libtool gcc automake autoconf make 下载必要的包
Lua语言中函数的二进制码保存与查看
weixin_41640959的博客
10-02 1179
Lua编程语言中,函数(function)和表(table)、线程(thread)等一样,都是变量。而函数,本质上就是一个程序,所以是可以以二进制码的形式表达的。本文介绍如何在Lua中把函数以二进制码进行保存,如何查看保存的二进制码,如何将保存的二进制码重新转换成函数,以及该功能的用处。
大数据埋点方案Openresty+Nginx+Lua踩坑日志
qq_25954159的博客
09-30 678
翻看了一些资料,个人理解是 其实with-http_gunzip_module模块是帮前端进行解压的,比如nginx location代理接口进行了gz数据压缩,代理一层的对外接口就可以自动解压了。容易踩坑点:询问gbt的时候会提示使用nginx的with-http_gunzip_module模块,设置gunzip on;来自动解压,但是尝试多次后都无法成功。将zlib.so文件放到openresty的lualib目录下,供全局加载到。确保luajit的依赖存在,在cmake检查的时候会显示出来;
1、深入理解Redis线程模型
业精于勤荒于嬉,行成于思毁于随
09-30 1589
以上介绍的各种机制,其实都是Redis改变指令执行顺序的方式。在这几种工具中,Lua脚本通常会是项目中用得最多的方式。在很多追求极致性能的高并发场景,Lua脚本都会担任很重要的角色。但是其他的各种方式你也需要有了解,这样面临真实业务场景,你才有更多的方案可以选择。Redis的线程模型整体还是多线程的,只是后台执行指令的核心线程是单线程的。整个线程模型可以理解为还是以单线程为主。基于这种单线程为主的线程模型,不同客户端的各种指令都需要依次排队执行。
Postman接口测试工具详解
来自想要赚大钱的小周同学
10-07 2751
Postman是一款API开发辅助工具,它支持HTTP协议的所有请求方式,如GET、POST、PUT、DELETE等。简单易用的图形化用户界面:Postman提供了直观易用的界面,使得HTTP请求的构建、发送和结果查看变得十分简单。支持多种请求方式:除了支持标准的HTTP请求方式外,Postman还支持文件、图片、视频等多种类型的数据请求。支持接口文档的生成和管理:Postman允许开发者将接口请求组织成集合(Collection),并生成详细的接口文档,方便团队内部共享和管理。支持团队协作。
缓存是什么?缓存机制、Spring缓存管理、Redis数据一致性、缓存问题(缓存穿透、缓存雪崩、缓存击穿)及Redis与MySQL使用场景对比
项目git同名HuYaochao,未入职
09-30 1567
缓存机制、Spring缓存管理、Redis数据一致性、缓存问题(缓存穿透、缓存雪崩、缓存击穿)及Redis与MySQL使用场景对比
Redis篇(Redis原理 - RESP协议)
wlcass zhengge blog
10-02 1276
Redis是一个CS架构的软件,通信一般分两步(不包括pipeline和PubSub):客户端(client)向服务端(server)发送一条命令服务端解析并执行命令,返回响应结果给客户端因此客户端发送命令的格式、服务端响应结果的格式必须有一个规范,这个规范就是通信协议。Redis 1.2版本引入了RESP协议Redis 2.0版本中成为与Redis服务端通信的标准,称为RESP2。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hangbobo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值