基于Cookie的Haproxy防止过速请求的方法

最新推荐文章于 2024-07-31 14:21:11 发布
最新推荐文章于 2024-07-31 14:21:11 发布
阅读量327 收藏
点赞数
文章标签: 爬虫
原文链接:https://segmentfault.com/a/1190000012745434
版权

在网上找一些关于Haproxy对于过速防御的解决办法,大致上就找到两种:

  1. 对于整体请求速度的控制
  2. 对于某个IP的请求速度的控制

这两种方式都不太好,第一种太过粗粒度,第二种容易误伤(如果多个客户端从同一台路由设备过来)。

设想一种基于Cookie的防御方法,因为Cookie里有记录SESSIONID这样的数据,如果针对SESSIONID进行过速请求防御,那么粒度就足够精细了。

下面是配置文件样例:

frontend http-in
  
  ...    
  # 创建stick-table,记录 cookie value -> 最近30秒内http请求次数
  stick-table type string len 50 size 1m expire 10m store http_req_rate(30s)
  
  # 将cookie(SESSION)作为key,存到stick-table中,并且计数
  http-request track-sc0 req.cook(SESSION)
  
  # 定义ACL,请求次数是否超过100
  acl abuse sc0_http_req_rate gt 100
  
  # 如果ACL为true,则拒绝http请求,响应429
  http-request deny deny_status 429 if abuse

如果你在haproxy里启用了如下配置:

stats socket /var/run/haproxy/haproxy.sock mode 0600 level admin

那么可以通过Socket Command在Haproxy运行时查看stick-table中的数据:

echo 'show table http-in' |  sudo socat  /var/run/haproxy/haproxy.sock -

参考资料

weixin_34344677
关注
haproxy-http-based-rate-limiting:HAProxy基于HTTP标头内容和其他高级信息的限速请求的以代码为中心的博客文章的示例配置
05-22
haproxy-http-based-rate-limiting 基于HTTP头内容和其他具有HAProxy的高级信息的限速请求的以代码为中心的博客文章的示例配置。 有关如何使用它的详细信息,请参见
haproxy的过滤表达式过滤恶意HTTP请求
remotesupport的专栏
09-13 4272
最近,自己用C++写的一个HTTP服务器总是莫名的崩溃或CPU 100%挂死。挂死的时间全无规律,有时候数周都稳定,有时候一小时内多次挂死。 程序的业务逻辑很简单,仅仅只是根据映射,将短URL转换成长URL。而且格式不匹配的URL中,通过日志发现了很多怪异的请求。 显然,黑客想通过特殊字符,攻击这台服务器。 显然,我的HTTP协议解析的代码存在漏洞。 找到代码中的BUG,然后修
掌握 HAProxy 负载均衡策略,优化网站性能轻而易举!
zgt_certificate的博客
06-16 254
用户的浏览器带有名为 "session_id" 的 cookieHAProxy 根据这个 cookie 值分配请求,保证同一用户的请求总是命中同一服务器。:有三个服务器 A、B、C,第一请求发送给 A,第二请求发送给 B,第三请求发送给 C,第四请求再次发送给 A,如此循环。:服务器 A 处理了 5 个请求,服务器 B 处理了 3 个请求,服务器 C 处理了 1 个请求,新请求会被分配给 C。:根据请求头中的 "User-Agent" 字段,将不同类型的用户请求分配到不同的服务器。
Haproxy突破65535限制
bjgaocp的博客
03-11 1117
haproxy在高并发的时候 本地65535个端口不够用了如何解决? 在TCP层面上没有好的办法,链接时间戳 快速回收 端口复用 修改系统默认timeout都无法根本解决问题 在NAT模式下,会出现时间戳错乱的现象,于是后面的数据包就被丢弃了,具体的表现通常是是客户端明明发送的SYN,但服务端就是不响应ACK. 在backend 标签内的server主句语句中添加source关键字 例: back...
haproxy的stick-table实际应用探索
huangfujin321的博客
02-28 1791
haproxy的stick-table,很有用,但很抽象,不好理解。之前生吞活剥翻译了一份haproxy官方blog的文档,自己都觉得非常不满意,因此删除了那篇blog文章,我又参考了几份老外的文档,仔细琢磨了一下stick-table,在此把我的理解写一下,希望能帮到有需要的人,转载请注明来自 http://blog.sina.com.cn/polygun2000 的博客. 第一部分: 理解ha...
使用HAProxy防范简单的DDos攻击
兰辉
12-24 3884
第一部分: 系统级防护 1.TCP syn flood 攻击 syn flood攻击是通过发送大量SYN包到一台服务器,使其饱和或者至少造成其上行带宽饱和。 如果攻击规模很大,已经撑满了你的所有Internet带宽,那么唯一的方法就是请求你的ISP给与协助。 我们本地的HAProxy上可以做一点简单防护,聊胜于无。 修改/etc/sysctl.conf,加入如下内容:  
haproxy 压缩包
04-08
2. **会话保持(Session Persistence)**:haproxy支持多种会话保持策略,如基于源IP的会话保持、基于cookie的会话保持等,确保客户端的连续请求能被路由到同一台服务器,保证服务的连续性。 3. **健康检查(Health...
haproxy当前最新稳定版
09-11
3. **会话保持**:通过基于cookie或其他方式的会话保持机制,haproxy能够确保来自同一用户的连续请求被分发到同一台后端服务器,保持服务的连贯性。 4. **SSL卸载**:haproxy可以处理SSL加密的连接,减轻服务器负担...
haproxy-1.8.11.tar.gz
11-10
5. **会话保持**:通过基于cookie或其他方式的会话持久化,haproxy能够确保同一用户的请求被连续地分发到同一台服务器,以保持会话状态。 6. **多协议支持**:haproxy不仅支持HTTP,还支持HTTPS、SMTP、FTP、TCP等...
负载均衡利器HAProxy功能剖析及企业级部署案例
01-02
4. **会话保持**:HAProxy支持基于cookie的会话保持,确保用户在多次请求间始终被定向到同一台服务器,提高用户体验。 5. **统计信息**:HAProxy内置了实时监控和统计功能,可以通过HTTP接口获取详细的运行数据。 ...
HAProxy
最新发布
yvchiby的博客
07-31 713
HAProxy 是一款强大的负载均衡软件,具有众多优势和广泛的应用场景。它可以运行于大部分主流的 Linux 操作系统上,提供高可用性、负载均衡以及基于 TCP 和 HTTP 的应用代理。HAProxy 实现了一种事件驱动、单一进程模型,支持非常大的并发连接数。HAProxy 支持多种负载均衡算法,例如轮询(Round Robin)、静态轮询(Static-RR)、最少连接(Least Connections)、源地址哈希(Source)等。
Haproxy中的acl的详解
vanexph的博客
06-15 3562
haproxy 能够从请求报文,响应报文,从客户端或者服务器端,从表,环境信息等中提取数据,提取这样的数据的动作我们称之为获取样本,进行检索时,这些样本可以用来实现各种目的,比如作为粘滞表的键,最常用的用途是,根据预定义的模式来进行匹配。访问控制列表(ACL)提供一个灵活方案进行内容切换,或者从请求,响应,任何环境状态中提取的数据基础之上做出决策,控制列表的原则很简单: 从数据流,表,环境中提取数据样本 对提取的样本可选的应用格式转换 对一个样本应用一个或多个模式匹配 当模式匹配样本时才执行动作 执行的动
根据HAPROXY日志中的每小时连接数大于设定阀值的IP封闭
PDZSPDZS的专栏
10-18 1747
[root@lvs ~]# cat blockip.sh #/bin/bash #定义过滤时间 ntime=`date +%H`:00:00 otime=`date +%H --date="-1hour"`:00:00 #将定义起止时间内的日志滤出来并按连接数阀值降序,最后将IP地址写入临时文件tempa cat /var/log/haproxy/haproxy.log|awk {'i
HAproxy指南之haproxy介绍(介绍篇)
secsky的专栏
03-06 342
一.HAproxy简介 HAProxy提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。根据官方数据,其最高极限支持10G的并发。 (1)HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在时下的硬件上,完全可以支持数以万计的 并发连接。并且它的运行模式使
HAProxy 高级应用(二)
weixin_34192732的博客
11-22 438
HAProxy 高级应用================================================================================概述:本章将继续介绍haproxy的一些其他应用,具体内容如下:use_backend <backend>后端主机调用:haproxy中tcp模式的应用;haproxy中list...
配置 Haproxy 防止 DDOS 攻击
热门推荐
wsfdl的专栏
12-24 1万+
作为 load balancer, Happroxy 常常作为服务器的前端,向外界用户提供服务的入口,如果能在入口处处理安全相关问题,将极大简化后端的设计。事实上,Haproxy 不仅仅是一款开源出色的 load balancer(四层和七层),而且在安全上也相当出色。它配合内核 IP/TCP 协议栈,能够较好的抵抗 DOS, DDOS 攻击,还能通过限制单个 IP 的连接数和请求速率等,防止用户
实践中使用haproxy 防御ddos
兰辉
12-24 3807
首先在http 这里做一个门防御 frontend http   bind 10.0.0.20:80 acl anti_ddos always_true #白名单 acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst #标记非法用户 stick-table type ip size 20k expire 2m store
Haproxy(二)环境搭建和参数记录
chengfei112233的专栏
01-05 5442
Haproxy(一)环境搭建和参数记录 一晃做运维好多年了,这些年来一说负载均衡,反向代理最常提到的就是lvs,nginx,haproxy,虽然haproxy现在听到的越来越少,不过确实也是一款不错的软件。前面已经对nginx反向代理进行了记录,虽然已经好几年不用haproxy了,但是还是想做下记录,可能写的不够深刻。 一、Haproxy介绍 1.1 简介             HA
限速请求
u010412301的博客
11-11 180
//-------------------------------限流的逻辑--------------------- while(true) { $redisMutex = $objCache->setnx($setnx, time()+1); if ($redisMutex || (time()>$objCache->get($setnx) &&am...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值