mysql 黑名单,Nginx ip 黑名单动态封禁(mysql)

最新推荐文章于 2023-07-19 17:57:38 发布
最新推荐文章于 2023-07-19 17:57:38 发布
阅读量658 收藏
点赞数
文章标签: mysql 黑名单

网站被恶意请求,拉黑IP是重要的手段,如果每次拉黑都要到nginx上配置,未免太low了;我们需要更方便的控制nginx IP黑名单。

方案

黑名单持久化到mysql (常见的方案是redis,但不利于控制,如:不同的IP设置不同的有效期、IP的CRUD、统计等等);

通过lua-nginx-module,在nginx中开辟一块内存(lua_shared_dict),lua将黑名单定期从mysql全量刷新至lua_shared_dict;

所有请求,都要到与lua_shared_dict中的IP check一下。

安装

安装luajit

cd LuaJIT-2.0.5

make

make install PREFIX=/usr/local/luajit

安装nginx时,将lua模块编译进去

export LUAJIT_LIB=/usr/local/luajit/lib

export LUAJIT_INC=/usr/local/luajit/include/luajit-2.1

./configure --prefix=/nginx \

--with-ld-opt="-Wl,-rpath,/usr/local/luajit/lib" \

--add-module=/opt/ngx_devel_kit-0.3.1rc1 \

--add-module=/opt/lua-nginx-module-0.10.14rc3

make -j2

make install

ln -s /nginx/sbin/nginx /usr/sbin/nginx

配置

nginx配置

http {

server_tokens off;

lua_package_path "/usr/local/lib/lua/?.lua;;";

lua_shared_dict ip_blacklist 4m;

}

server {

set $real_ip $remote_addr;

if ( $http_x_forwarded_for ~ "^(\d+\.\d+\.\d+\.\d+)" ) {

set $real_ip $1;

}

# 管理信息,访问该URL可以查看nginx中的IP黑名单信息

location /get-ipblacklist-info {

access_by_lua_file conf/lua/get_ipblacklist_info.lua;

}

# 同步URL,通过定时任务调用该URL,实现IP黑名单从mysql到nginx的定时刷新

location /sync-ipblacklist {

access_by_lua_file conf/lua/sync_ipblacklist.lua;

}

# 生产域名配置,所有需要IP黑名单控制的location,都要包含以下语句

location / {

access_by_lua_file conf/lua/check_realip.lua;

}

}

nginx服务器配置以下crrontab

* * * * * /usr/bin/curl -o /dev/null -s http://127.0.0.1/sync-ipblacklist > /dev/null 2>&1

lua脚本

sync_ipblacklist.lua

local mysql_host = "ip of mysql server"

local mysql_port = 3306

local database = "dbname"

local username = "user"

local password = "password"

-- update ip_blacklist from mysql once every cache_ttl seconds

local cache_ttl = 1

local mysql_connection_timeout = 1000

local client_ip = ngx.var.real_ip

local ip_blacklist = ngx.shared.ip_blacklist

local last_update_time = ip_blacklist:get("last_update_time");

if last_update_time == nil or last_update_time < ( ngx.now() - cache_ttl ) then

local mysql = require "resty.mysql";

local red = mysql:new();

red:set_timeout(mysql_connect_timeout);

local ok, err, errcode, sqlstate = red:connect{

host = mysql_host,

port = mysql_port,

database = database,

user = username,

password = password,

charset = "utf8",

max_packet_size = 1024 * 1024,

}

if not ok then

ngx.log(ngx.ERR, "mysql connection error while retrieving ip_blacklist: " .. err);

else

new_ip_blacklist, err, errcode, sqlstate = red:query("select ip_addr from ip_blacklist where status = 0 order by create_time desc limit 10000", 100)

if not new_ip_blacklist then

ngx.log(ngx.ERR, "bad result. errcode: " .. errcode .. " sqlstate: " .. sqlstate .. " err: " .. err);

return

end

ip_blacklist:flush_all();

for k1, v1 in pairs(new_ip_blacklist) do

for k2, v2 in pairs(v1) do

ip_blacklist:set(v2,true);

end

end

ip_blacklist:set("last_update_time", ngx.now());

end

end

ngx.say("sync successful");

get_ipblacklist_info.lua

-- 调用URL查看黑名单信息

-- 1万IP消耗不到1.5M ngx.shared内存

-- 获取所有KEY会堵塞别的正常请求对ngx.shared内存的访问,因此只能取少数key展示

require "resty.core.shdict"

ngx.say("total space: " .. ngx.shared.ip_blacklist:capacity() .. "

");

ngx.say("free space: " .. ngx.shared.ip_blacklist:free_space() .. "

");

ngx.say("last update time: " .. os.date("%Y%m%d_%H:%M:%S",ngx.shared.ip_blacklist:get("last_update_time")) .. "

");

ngx.say("first 100 keys:

");

ngx.say("--------------------------

");

ip_blacklist = ngx.shared.ip_blacklist:get_keys(100);

for key, value in pairs(ip_blacklist) do

ngx.say(key .. ": " .. value .. "

");

end

check_realip.lua

if ngx.shared.ip_blacklist:get(ngx.var.real_ip) then

return ngx.exit(ngx.HTTP_FORBIDDEN);

end

数据库设计

CREATE TABLE `ip_blacklist` (

`id` int(11) NOT NULL AUTO_INCREMENT,

`ip_addr` varchar(15) COLLATE utf8mb4_bin DEFAULT NULL,

`status` int(11) DEFAULT '0' COMMENT '0: valid 有效, 1: invalid 失效',

`effective_hour` decimal(11,2) DEFAULT '24' COMMENT '有效期,单位:小时',

`ip_source` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '黑名单来源',

`create_time` datetime DEFAULT CURRENT_TIMESTAMP,

`modify_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,

`remark` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '备注',

PRIMARY KEY (`id`)

) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;

CREATE PROCEDURE proc_ip_blacklist_status_update()

-- 将过期的IP状态改为失效

begin

update ip_blacklist

set status=1

where date_add(create_time,INTERVAL effective_hour hour) < now();

commit;

end;

CREATE EVENT job_ip_blacklist_status_update

ON SCHEDULE EVERY 1 MINUTE

ON COMPLETION PRESERVE

ENABLE

DO

call proc_ip_blacklist_status_update();

4 CRUD

黑名单产生有手工的方式,也有自动的方式,或者两者兼有。

自动的方式有通过python分析elk日志,将恶意IP自动写入mysql,这是个大话题,这里不涉及。

手工的方式可以人肉查看elk请求日志,发现恶意IP,手工填入mysql,这里推荐一个开源的CRUD工具,用户体验很nice(比直接navicat好多了),当然也可以自己写……

项目的强大之处在于,所有表都帮你生成菜单,然后这些表的CRUD就直接用了。

蔡辉龙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql自动拉入黑名单_利用MySQL实现域名黑名单过滤10W记录1ms匹配
weixin_28894691的博客
01-28 613
先说一下这个需求,需要判断某个域名是否在黑名单中。黑名单中的域名一旦设置,其下任何级的域名都认为是在黑名单中。如黑名单中加入a.com,则a.com、www.a.com、1.2.3.a.com等都算进入黑名单。如黑名单中加入com,则所有com域名都算进入黑名单。下面出现的域名如带*都为违法域名一开始我使用了like去做查询,如我要做判断的域名是www.a.com。SQL语句如下:selectc...
mysql自动拉入黑名单_负载均衡与黑名单
weixin_42406647的博客
02-02 510
黑名单 访问一个Server经常出错就可以断定:该Server有问题,下次访问还是极可能出错。为了减少试错成本,可以把它放到黑名单中,下次请求Server的时候避开这个有问题的Server。实现黑名单,需要注意以下方面: 1. 错误分类:一个Server出错可能有很多种原因黑名单访问一个Server经常出错就可以断定:该Server“有问题”,下次访问还是极可能出错。为了减少试错成本,可以把它放到...
nginx ip mysql黑名单动态
小僧下山踏红尘
01-14 1868
最开始参考 https://blog.csdn.net/sdmei/article/details/88320516 这篇文章做的,但是因为几个组件的版本总是出问题,就使用了OpenResty,总算是可以用了,记录下来可供大家参考; 安装OpenResty 中文官网 安装很简单,我的编译配置: ./configure --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-stream --with
mysql自动拉入黑名单,PHP + MySQL中的IP黑名单
weixin_30960995的博客
02-08 378
I have been trying to implement a sort of IP blacklisting in PHP, where I store failed login attempts to a MySQL table with the following schema:CREATE TABLE blacklist(`ip_address` VARCHAR(35) NOT NUL...
利用MySQL实现域名黑名单过滤10W记录1ms匹配
weixin_34343000的博客
10-25 715
为什么80%的码农都做不了架构师?>>> ...
nginx ip黑名单动态的例子
09-29
今天小编就为大家分享一篇nginx ip黑名单动态的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
linux下shell处理nginx日志自动生成ip黑名单
01-20
#shell脚本处理nginx日志自动生成ip黑名单 ##统计访问量前10名的ip并写入文件 #!/bin/bash data=`date +%Y-%m-%d` #统计访问量最高的前10ip awk '{print $1}' '/PATH/'$data'.log' | sort -n |uniq -c | sort -rn | ...
nginx+lua+redis黑名单加载
07-25
nginx+lua+redis黑名单加载,nginx+lua+redis黑名单加载。
Nginx如何封IPIP段的实现
09-29
主要介绍了Nginx如何封IPIP段的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mysql屏蔽ip,使用MySQL的通配IP
weixin_42304279的博客
01-19 299
I'm trying to implement an IP banning system into my web app using MySQL, i know i can do it using .htaccess but that's not neat to me.Basically my current table is:ip_blacklist(id, ip, date)and in ph...
Mysql设置IP限制
ydZ157的博客
11-22 2512
#设置IP访问限制 GRANT ALL PRIVILEGES ON *.* TO '这里写用户名'@'210.12.24.*' IDENTIFIED BY '这里写密码' WITH GRANT OPTION; #查看 select user, host from user; #更新 update user set host='192.168.103.17' where user='这里写用户名'; #删除 drop user where host='192.168.103.17'; #修改之后记得刷新权限.
Nginx 限制访问 - IP 地址动态黑名单
kikajack的博客
02-20 3971
原文地址本文讲述了如何开启并动态维护一个 IP 地址黑名单。1. 概述使用 NGINX Plus R13 时,可以将某些 IP 地址列入黑名单,可以创建并维护黑名单 IP 地址的数据库。相对的,还可以将某些 IP 地址明确列入白名单。 IP地址数据库使用 NGINX Plus API 和 Nginx Plus keyval 模块进行管理。2. 先决条件 Prerequisites NGINX Plu
将统计结果写入到MySQL数据库中&黑名单过滤
weixin_39868387的博客
04-12 635
(1)先在本地mysql数据库,并对其创建 //创建数据库名为:imooc_spark mysql> create database imooc_spark; Query OK, 1 row affected (0.00 sec) //使用数据库 mysql> use imooc_spark; Database changed //创建数据表 mysql> create ta...
mysql 设置的黑名单_在SQL中实现多条件任意组合黑名单的方法
weixin_29072299的博客
02-27 1199
最近的一个项目中,在对故障工单进行自动语音督办的时候,需要在某个时段对某种组合条件下的工单不督办。如在实时督办中,对所有区域告警ID为“FF--1057361341”工单,白天不督办,但夜间需督办;在受理督办中,对某个指定区域告警ID为“207-121-00-800316”的,白天督办,夜间无需督办。为了保障督办的及时性,我们采用的是任务驱动的方式。即生成任务,根据任务去判定采用什么督办模式。如下...
【在Windows环境下,设置MySQL密码复杂度校验、IP限制访问、密码错误限制的操作】
weixin_45332660的博客
07-19 555
其中,database指定要授权的数据库,‘user’@‘ip1’和’user’@'ip2’指定允许访问数据库的IP地址,'password’指定用户的密码。validate_password_policy:密码强度检查等级,0/LOW、1/MEDIUM、2/STRONG。validate_password_mixed_case_count:密码至少要包含的小写字母个数和大写字母个数。validate_password_special_char_count:密码至少要包含的特殊字符数。
51ak带你看MYSQL5.7源码4:实现SQL黑名单功能
weixin_30820151的博客
04-11 226
博客迁移至: https://www.dboop.com/ 从事DBA工作多年 MYSQL源码也是头一次接触 尝试记录下自己看MYSQL5.7源码的历程 申明:个人Python编程很溜,但是C++还停在白痴水平,源码理解方面有点弱,如发现有错误的地方,轻喷。 博客的题目是看源码,实际上可能会发现在不停的在改源码,没办法,手贱,不改不舒服。 目录: 51ak带...
mysql 黑名单_51ak带你看MYSQL5.7源码4:实现SQL黑名单功能
weixin_35851654的博客
01-19 719
博客迁移至:从事DBA工作多年MYSQL源码也是头一次接触尝试记录下自己看MYSQL5.7源码的历程申明:个人Python编程很溜,但是C++还停在白痴水平,源码理解方面有点弱,如发现有错误的地方,轻喷。博客的题目是看源码,实际上可能会发现在不停的在改源码,没办法,手贱,不改不舒服。目录:上一篇我们实现了,屏掉了MYSQL的DELTE语句的执行功能。想了想这种改动太暴力了,不够优雅现在我们要改变一...
Mysql限制IP访问
weixin_33995481的博客
08-03 1345
为什么80%的码农都做不了架构师?>>> ...
mysql限制IP登录,授予权限
iteye_16909的博客
02-28 1706
登录mysql服务器,连接MySQL,执行如下两条命令 1.GRANT ALL PRIVILEGES ON   *.*   TO   root@'192.168.204.%' IDENTIFIED   BY   '123'   WITH   GRANT   OPTION;   (授予IP段为192.168.204.*  用户为root  密码为123 的用户所有权限)   2.flush...
nginx动态配置黑名单
最新发布
09-01
动态配置黑名单,你可以使用 Nginx 的模块 ngx_http_geo_module。这个模块提供了一种有效的方式来基于 IP 地址或其他地理位置信息进行访问控制。 以下是一个简单的示例,展示如何在 Nginx动态配置黑名单: 1. 创建一个名为 blacklist.conf 的文件,用于存储黑名单 IP 地址列表。该文件的格式如下: ``` # blacklist.conf deny 192.168.0.1; deny 10.0.0.0/24; ``` 2. 在 Nginx 的配置文件中引入 blacklist.conf 文件。找到你的 server 配置块,添加以下指令: ``` include /path/to/blacklist.conf; ``` 确保将 "/path/to/blacklist.conf" 替换为实际的 blacklist.conf 文件的路径。 3. 在 server 配置块中使用 `geo` 指令,定义一个名为 `$blacklist` 的变量,并将其与 blacklist.conf 文件中的黑名单地址相关联。例如: ``` geo $blacklist { default 0; include /path/to/blacklist.conf; } ``` 4. 在 server 配置块中使用 `map` 指令,将 `$blacklist` 变量映射到一个新的变量 `$is_blacklisted`。例如: ``` map $blacklist $is_blacklisted { 0 0; 1 1; } ``` 5. 在 server 配置块中使用 `if` 指令,根据 `$is_blacklisted` 变量的值来拒绝访问。例如: ``` server { ... if ($is_blacklisted) { return 403; } ... } ``` 这样,当请求的 IP 地址在黑名单中时,Nginx 将返回 HTTP 状态码 403 Forbidden。 请注意,这只是一个简单的示例。你可以根据自己的需求扩展和调整这个配置。确保在更新 blacklist.conf 文件后重新加载 Nginx 配置,以使更改生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值