lua设计与实现_Openresty初探:使用Nginx Lua设计自己的WAF

最新推荐文章于 2022-05-16 23:06:35 发布
最新推荐文章于 2022-05-16 23:06:35 发布
阅读量355 收藏
点赞数
文章标签: lua设计与实现 lua设计与实现 pdf

Openresty初探:使用Nginx Lua设计自己的WAF

本文介绍基于Openresty设计一个根据IP+URL做访问频率限制的web应用防火墙(WAF),其中涉及到Nginx、Redis等相关内容会做简单介绍。

一、为什么选择Openresty

通过 Lua 扩展 NGINX 实现的可伸缩的 Web 平台 。

根据官网( http://openresty.org/cn/ )介绍,Openresty是通过Lua拓展Nginx的高性能Web平台。在保证基础Nginx功能的情况下,Openresty通过其内部集成的大量Lua库,可以方便地使用Lua语言拓展自己的Web服务。

所以,Openresty使用Lua作为业务功能的开发,在保留Nginx高并发的特性的同时,又更加方便拓展。

二、准备

在写一个简易的WAF之前,先要对Openresty的组件和Nginx知识有基本的了解。

2.1 Openresty安装

http:// openresty.org/cn/instal lation.html

使用官网提供的源码包进行编译安装,安装方法和Nginx相同。安装目录结构:

[root@SC openresty]# ll
total 248
drwxr-xr-x 1 root root    512 Nov 16 19:06 bin
-rw-r--r-- 1 root root  22924 Nov 16 19:06 COPYRIGHT
drwxr-xr-x 1 root root    512 Nov 16 19:06 luajit
drwxr-xr-x 1 root root    512 Nov 16 19:06 lualib
drwxr-xr-x 1 root root    512 Nov 16 19:08 nginx
drwxr-xr-x 1 root root    512 Nov 16 19:06 pod
-rw-r--r-- 1 root root 226755 Nov 16 19:06 resty.index
drwxr-xr-x 1 root root    512 Nov 16 19:06 site

这里需要关注两个目录,bin/ 和 nginx/ 。bin目录是openresty编译后的一些基本工具,nginx目录类似Nginx源码编译之后的安装目录,使用方法也相同。

Openresty相关命令和Nginx类似:install_path/nginx/sbin/nginx ; install_path/nginx/sbin/nginx -t/-s 等。

2.2 Hello World

http://openresty.org/cn/getting-started.html

可不必关注工作目录,直接修改install_path/nginx/sbin/nginx/conf/nginx.conf文件编写官网上的示例demo。

worker_processes  1;
error_log logs/error.log;
events {
    worker_connections 1024;
}
http {
    server {
        listen 8080;
        location / {
            default_type text/html;
            content_by_lua_block {
                ngx.say("<p>hello, world</p>")
            }
        }
    }
}

启动

[root@SC conf]# /opt/openresty/nginx/sbin/nginx
[root@SC conf]# curl 'http://localhost:8080'
<p>hello, world</p>
[root@SC conf]#

2.3 Demo:获取HTTP客户端访问IP地址

客户端IP常用来做HTTP访问白名单,在Nginx日志中,$remote_addr或者$http_x_forwarded_for字段记录了实际HTTP请求时客户端IP地址。$http_x_forwarded_for主要是在有反向代理的情况下,客户端实际IP会写在这个字段里,否则$remote_addr记录的是代理服务器的IP地址。

另外,在使用NAT的网络里,可以根据Openresty的返回获取到实际的出口IP。和curl http://ifconfig.me的功能类似。

-- 获取客户端IP地址

nginx.conf中类似如下配置

worker_processes  1;
error_log logs/error.log;
events {
    worker_connections 1024;
}
http {
    server {
        listen 8080;
        location / {
            default_type text/html;
            content_by_lua_block {
                local uri = ngx.var.uri
                local headers=ngx.req.get_headers()
                local ip=headers["X-REAL-IP"] or headers["X_FORWARDED_FOR"] or ngx.var.remote_addr or "0.0.0.0"
                ngx.say(ip)
            }
        }
    }
}

重启Openresty

[root@SC conf]# /opt/openresty/nginx/sbin/nginx -s reload
[root@SC conf]# curl 'http://localhost:8080'
127.0.0.1
[root@SC conf]#

PS:在服务器有外网IP的情况下,curl后返回的就是客户端实际出口IP地址。

三、如何写一个WAF

上面介绍了Openresty的基本使用,接下来谈下如何写一个基于IP+URL的WEB应用防火墙。

3.1 设计

Openresty代理,最基本的需求是希望能够做到对于不同的IP有频率访问控制,阻挡恶意请求。写一个简易的CC防护WAF主要有如下几点:

1、客户端IP+URL拼接作为Redis的key

2、Redis的key设置过期时间

3、每次访问相同时Redis的key做自增

4、配置访问频率,如10/900(15分钟只能访问10次)。结合2,3两点做频控。

5、黑白名单配置

3.2 流程图

7a0a78bc02915963bf24af9904fda1fc.png

3.3 代码组织

3.3.1 nginx.conf

# 主要部分
http {
    charset  utf-8;
    # lua文件查找路径
    lua_package_path "$prefix/lua/?.lua;$prefix/lua/vendor/?.lua;$prefix/lua/waf/?.lua;;";
​
    server {
        listen 80;
        location / {
            default_type text/html;
            # 入口
            access_by_lua_block {
                require("gw_waf").go()
            }
        }
    }
}

3.3.2 Lua脚本

3.3.2.1 代码结构

[root@pc-nginx-az3 lua]# pwd
/opt/openresty/nginx/lua
[root@pc-nginx-az3 lua]# tree .
.
├── gw_waf.lua
├── vendor
│   ├── ipmatcher.lua
│   └── redis.lua
└── waf
    ├── config.lua
    ├── controller.lua
    ├── init.lua
    └── lib.lua
​
2 directories, 7 files

gw_waf.lua:类似main函数,是access_by_lua的入口

vendor:存放三方库源码,Openresty官方的lua-resty-redis,lua-resty-mysql之类的都可以存放在这里。Nginx Lua标准包可以在Lua中直接引用,其他优秀的三方库可以直接放在自定义目录下

waf:具体的实现逻辑

config.lua:程序配置文件

controller.lua:控制逻辑

init.lua:具体实现

lib.lua:其他通用函数

3.3.2.2 控制-controller.lua

local

3.3.2.3 逻辑实现-init.lua

截取部分代码段说明 
--allow white ip

3.4 建议

3.4.1 Redis服务端配置

timeout 60 ,设置服务端超时时间,否则高并发下TCP连接未及时释放导致Redis压力过大;

设置Redis密码

3.4.2 Lua 客户端

Lua客户端设置超时时间;

Lua客户端主动释放Redis连接,否则客户端请求出现超时导致拒绝连接

四、附录

4.1 验证

使用jemter做压测,验证功能和并发。访问的优先级的黑名单-白名单-频控,功能上测试完成可以对Redis中存储的数据进行验证。这里贴出的是部分Redis存储内容:

db0:keys=236200,expires=236200,avg_ttl=463353

TTL指令查看key的过期时间,其他Redis命令请参考 http://redis.cn/commands.html

4.2 更进一步

以上实现的只是WAF中比较小的一个方面。Lua中配置文件缺乏一个可视化的管理后台,攻击记录也没具体留存分析。后续的文章中将完善这两方面。

五、参考

5.1 Openresty官网

http://openresty.org

5.2 Nginx Lua库

Lua-resty-redis:https://github.com/openresty/lua-resty-redis

Lua-resty-ipmatcher: https://github.com/iresty/lua-resty-ipmatcher

5.3 Nginx WAF 实现

Ngx_lua_waf: https://github.com/loveshell/ngx_lua_waf

weixin_39777497
关注
Nginx之轨迹】Nginx + Lua 实现 waf Web 应用防火墙(解决 nignx 加载失败问题:LuaJIT version which is not OpenResty‘s)
rkmhr_sef的博客
02-23 888
—— 目录 —— 1. Lua 和 ngx_lua_waf 简介 2. 前置问题 3. 安装和配置各模块 4. 配置 Nginx 5. 检验是否添加模块成功 6. 配置安全防火墙 7. 详细设置安全防火墙 1. Lua 和 ngx_lua_waf 简介 Lua 是一门轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能Lua应用场景:游戏开发、独立应用脚本、Web 应用脚本、扩展和数据库插件如:MySQL Proxy 和
openresty+redis 限制访问,Web应用防火墙WAF
一只菜鸡的专栏
11-20 487
1.安装openresty 安装依赖 # yum -y install pcre-devel zlib-devel openssl-devel 官网:http://openresty.org/cn/download.html 1.15版本:https://openresty.org/download/openresty-1.15.8.2.tar.gz # cd /software #...
lua 调用文件中的函数调用_Lua设计实现--虚拟机篇
weixin_39834488的博客
11-28 384
本篇文章是Lua设计实现专栏的第三篇,主要结合了《Lua设计实现》书中的第五章(虚拟机),以及lua5.3源码进行一些总结,由于原书中主要是基于lua5.1进行书写的,所以可能会有跟书中列举代码不一致的地方,不过大体上是保持一致的。同时,本文虚拟机的概念和类型划分的内容主要参考了这篇blog的,里面讲的挺详细的。虚拟机基本概念虚拟机指借助软件系统对物理机器指令执行进行的一种模拟。首先,对于物理...
lua设计实现_Lua设计实现--GC篇
weixin_39633976的博客
12-04 366
这是Lua设计实现专栏的第6篇文章,专栏由于工作原因已经停更很久了,最近有些闲暇时间可以继续对Lua5.3中的增量GC算法进行一个比较深入的研究,本文主要分为顶层设计和具体实现两个大块。 文章以lua5.3源码为背景进行讨论。1.背景和C#、Java类似,lua采用了Mark&Sweep的算法来进行垃圾回收,与之相对的还有个常用算法是Automatic Reference Countin...
Lua设计实现--Table
qq_39025293的博客
03-29 321
本文转载自知乎专栏作家@张德嘉 的 Lua设计实现,链接地址:https://zhuanlan.zhihu.com/p/87400150。 Table的设计哲学 table应该算是lua最灵魂的一个结构了。它有以下特点: 容器功能:与其他语言相似,lua也内置了容器功能,也就是table。而与其他语言不同的是,lua内置容器只有table。正因为如此,为了适配不同的应用需求,table的内部结构也比较考究,分为了数组和哈希表两个部分,根据不同需求来决定使用哪个部分。 面向对象功能:与其他语言不同的
Lua设计实现——基础数据类型(字符串)
田螺姑娘的博客
05-16 442
Lua设计实现——基础数据类型(字符串) 出自书籍:李创.Lua设计实现[M].北京.人民邮电出版社.2017:186.   这次介绍Lua内部字符串的实现原理。首先将概述Lua实现原理,看看其中设计者主要考虑哪些情况,然后带着这些问题结合具体的代码进行分析。 概述   C语言并不像C++那样,自带处理字符串类型的库,这导致有非常多的C语言库都自己实现了一个处理字符串的类型和相关的API。一般来说,要表示一个字符串,核心就是以下两个数据。 字符串长度。 指向存放字符串内存数据的指针。  
Lua设计实现--虚拟机篇
蛰伏--当你不够强大时,就不要放弃努力
12-05 4154
///////////////////////////////////////////////////////////////// 本篇文章是Lua设计实现专栏的第三篇,主要结合了《Lua设计实现》书中的第五章(虚拟机),以及lua5.3源码进行一些总结,由于原书中主要是基于lua5.1进行书写的,所以可能会有跟书中列举代码不一致的地方,不过大体上是保持一致的。 同时,本文虚拟机的概念和类型划分的内容主要参考了这篇blog的,里面讲的挺详细的。 虚拟机基本概念 虚拟机指借助软件系统对物理机器..
openresty(nginx-lua-module-zh-wiki)中文文档.pdf
06-11
OpenResty 是一个强大的 Web 应用服务器,Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,更主要的是在性能方面,OpenResty可以 快速构造出足以胜任 10K 以上并发连接响应的超高性能 Web ...
毕业设计php带源码-openstar:luawaf,nginx+lua,openresty,luajit,waf+,cdn,nginx
06-06
OpenResty,OpenStar,waf+,云waf,nginx lua true 欢迎使用 {OpenStar}(WAF+),该项目是从实际需求中产生,经过多次的版本迭代,实属不易。感谢春哥,以及的神器() 注意:使用版本一定要大于 1.11.0 因为使用了ngx....
Lua设计实现——基础数据类型(Lua中的数据类型)
田螺姑娘的博客
05-11 776
Lua设计实现——基础数据类型(Lua中的数据类型) 出自书籍:李创.Lua设计实现[M].北京.人民邮电出版社.2017:186.   在这一部分中,探讨Lua中的基础数据结构。Lua内部采用一种通用的基础数据结构来表示数据类型。Lua语言及其精简,只有字符串和表两种最基本的数据结构。然而,精简并不代表简陋,在这些基础数据结构的实现中,处处可以看到设计者为了性能和可扩展性(这是Lua从一开始就坚持的目标)所做的努力。   Lua是一门动态类型的脚本语言,这意味着同一个变量可以在不同时刻指向不
lua实现机制
06-22
lua实现机制,可以深度学习下。。。。。。。。。。。。。。。。
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
lua-resty-waf:基于OpenResty堆栈的高性能WAF
lua设计模式总结
10-16
创建型模式 1、简单工厂模式lua实现 2、工厂方法模式lua实现 3、原型模式lua实现 4、建造者模式lua实现 5、单例模式lua实现 6、抽象工厂模式lua实现 结构型模式 1、装饰模式lua实现 2、代理模式lua实现 3、外观模式lua实现 4、适配器模式lua实现 5、组合模式lua实现 6、桥接模式lua实现 7、享元模式lua实现 行为模式 1、策略模式lua实现 2、模板方法模式lua实现 3、观察者模式lua实现 4、状态模式lua实现 5、迭代器模式lua实现 6、备忘录模式lua实现 7、命令模式lua实现 8、职责链模式lua实现 9、解释器模式lua实现 10、中介者模式lua实现 11、访问者模式lua实现
Lua1.1 Lua设计实现 (二)
weixin_34292924的博客
09-03 97
为什么80%的码农都做不了架构师?>>> ...
Lua设计实现——前言与概述
田螺姑娘的博客
05-07 830
前言与概述 出自书籍:李创.Lua设计实现[M].北京.人民邮电出版社.2017:186. 前言   假如采用C++这样的编译型语言来开发游戏,那么典型的开发流程大致时这样的:擂起袖子来写了一大段代码,然后编译解决调试编译的错误,中间可能还要处理类似崩溃、段错误、内存泄露等问题。另外,由于重新编译了代码,又需要重启服务器,而重启过程中势必涉及数据的加载。总而言之,采用纯编译型语言开发的情况下,相当一部分时间并没有用在真正的业务逻辑开发中。   项目采用的是C++编写的核心引擎模块,暴露核心接口给Lua
Lua 5.0的实现》第二章 - Lua设计实现概述
语言观止
11-22 2490
Lua 5.0的实现》第二章翻译,翻译方知写作难。
lua设计实现(三)字符串
江湖夜雨十年灯
10-29 499
概述 在Lua虚拟机中存在一个全局的数据区(散列桶),用来存放当前系统中的所有字符串。 同一个字符串在Lua虚拟机中只可能有一个副本,一个字符串一单创建,将是不可变更的。 变量存放的仅是字符串的引用,而不是其内容 Lua字符串内化的优点: 传统字符串的比较与查找是根据字符串长度逐位比较,时间复杂度与字符串长度线性相关。而Lua的,在已知字符串散列值的情况下,只需要一次整数比较。 多份相同的字符...
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1479
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF功能 支持IP...
Lua虚拟机中的数据结构与栈--读《lua设计实现》笔记
zry963的博客
06-27 752
由上一篇文章可知解释器分析Lua文件之后生成Proto结构体,最后到luaV_execute函数中依次取出指令来执行。每个lua虚拟机对应一个lua_State结构体,它使用TValue数组来模拟栈,主要包括与栈相关的成员:stack:栈数组的起始位置base:当前函数栈的基地址top:当前栈的下一个可用位置这些成员的初始化操作在stack_init函数中完成。lua_State里面存放的是一个L...
OpenResty实践:Nginx+Lua+Dyups部署与模块添加
"这篇文档主要介绍了如何使用OpenResty实现NginxLua的结合部署,并利用dyups模块进行自定义服务调度。OpenResty是一个基于NginxLua的高性能Web平台,允许用户在Nginx内部编写 Lua 脚本,实现更灵活的Web服务开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值