openresty加lua脚本实现在nginx层的ip拦截

最新推荐文章于 2024-05-27 22:57:26 发布
最新推荐文章于 2024-05-27 22:57:26 发布
阅读量3.3k 收藏 4
点赞数 1
分类专栏: openresty
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuxingKevin/article/details/88409899
版权

问题描述:

在项目中碰到用户刷注册接口,骗取注册成功后的一些列奖励。

达到的要求:

于是安全这边想要对用户的IP做一个过滤,做一套黑名单与白名单过滤,同时限制用户在1分钟内注册的次数。

使用的方案:

决定采用openresty加lua脚本,在nginx层面对用户ip做拦截过滤。

 

具体实施方案:

原理图:

黑白名单查询逻辑:

 

环境搭建:

总述

操作名称

具体操作

搭建openresty

1、下载openresty

下载地址:http://openresty.org/cn/download.html

(这里使用openresty-1.13.6.2.tar.gz

2、解压openresty

将下载的openresty-1.13.6.2.tar.gz包上传到服务器的/apps/svr路径下,并解压tar –xzvf openresty-1.13.6.2.tar.gz

3、修改openresty的默认配置信息

cd /apps/svr/openresty-1.13.6.2目录下,输入命令:

./configure --prefix=/apps/svr/openresty

(这里只简单改了下路径)

4、编译

gmake

(有的服务器命令是make)

5、安装

gmake install

(/apps/svr/目录下出现openresty文件夹即表示安装成功)

6、修改nginx.conf配置文件

cd  /apps/svr/openresty/nginx/conf目录下,rm –rf nginx.conf删除原有的nginx.conf配置文件。接着将已有的配置文件复制过来。

cp /apps/svr/nginx-1.9.12/conf/nginx.conf  /apps/svr/openresty/nginx/conf/

7、新建lua脚本文件

在/apps/svr/openresty/nginx/目录下输入命令mkdir thirdlua新建thirdlua,并在thirdlua中新建lua文件operateip.lua文件。

8、编写operateip.lua脚本

local REDIS_HOST = "127.0.0.1"

local REDIS_PORT = "6379"

 

local REDIS_CONN_TIMEOUT = 3

local WHITEIPS_KEY = "ip_white"

local BLACKIPS_KEY = "ip_black"

local LIMITIPS_KEY = "ip_limit"

 

local ip = ngx.var.remote_addr

local redis = require "resty.redis";

local red=redis:new();

 

function ignoreWhitelist(ip)

         local exists = red:exists(WHITEIPS_KEY);

         if tonumber(exists) == 1 then

                   exists = red:sismember(WHITEIPS_KEY,ip);

                   if tonumber(exists) == 1 then

                         ngx.log(ngx.INFO," this is white ip ");

                            return true;

                   end

        end

        return false;

end

 

function checkBlacklist(ip)

         local exists = red:exists(BLACKIPS_KEY);

         if tonumber(exists) == 1 then

                   exists = red:sismember(BLACKIPS_KEY,ip);

                   if tonumber(exists) == 1 then

                         ngx.log(ngx.INFO," this is black ip ");

                            return true;

                   end

        end

        return false;

end

 

function limitIpFrequency(ip, times)

         local exists = red:exists(LIMITIPS_KEY..ip);

         ngx.log(ngx.INFO," exists ",exists);

        if tonumber(exists) == 0 then

                   red:zincrby(LIMITIPS_KEY..ip,1,ip);

                   red:expire(LIMITIPS_KEY..ip,60);

        else

                 local count = red:zscore(LIMITIPS_KEY..ip,ip);

                 ngx.log(ngx.INFO,count);

                 if count then

                            if tonumber(count)  > times then

                return true;

                            end

                 end

                   red:zincrby(LIMITIPS_KEY..ip, 1,ip);

        end

         return false;

end

 

ngx.log(ngx.DEBUG,"remote_addr is ",ip);

red:set_timeout(REDIS_CONN_TIMEOUT);

local ok,err = red:connect(REDIS_HOST,REDIS_PORT);

if not ok then

         ngx.log(ngx.INFO,"redis connection error ");

else

    local hit = false;

    flg = ignoreWhitelist(ip);

    if flg==false then

       flg = checkBlacklist(ip);

       if flg==true then

                 return ngx.exit(ngx.HTTP_NOT_FOUND);

       else

                 flg = limitIpFrequency(ip,5);

                 if flg==true then

                          return ngx.exit(ngx.HTTP_NOT_FOUND);

                 end

       end

    end

end

 

ok, err = red:set_keepalive(1000,100);

if not ok then

        red:close();

end

 

9、上传lua脚本

在/apps/svr/openresty/nginx/目录下输入命令mkdir thirdlua新建thirdlua

10、配置lua脚本

在/apps/svr/openresty/nginx/conf/nginx.conf文件中添加如下配置信息

location /login/login.do {

           proxy_pass   http://ip/login/login.do;

           access_by_lua_file thirdlua/operateip.lua;

        }

 

搭建redis

1、下载redis

下载地址:https://redis.io/download

(这里用redis-3.2.12.tar.gz)

2、解压redis包

将下载的redis-3.2.12.tar.gz 包上传到服务器的/apps/svr路径下,并解压tar –xzvf redis-3.2.12.tar.gz

3、编译

cd /apps/svr/redis-3.2.12 输入编译命令:make

4、启动redis

cd /apps/svr/redis-3.2.12/src 输入./redis-server启动redis服务

 

运营维护

1、添加白名单集合

在redis中新建set集合ip_white用于存储白名单

2、添加黑名单集合

在redis中新建set集合ip_black用于存储黑名单

 

zhuxingKevin
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx中使用Lua脚本配置示例
09-21
Nginx服务器环境中,使用Lua脚本可以极大地扩展Nginx的功能,实现更复杂的逻辑处理。Lua是一种轻量级、高性能的脚本语言,它的集成使得Nginx能够处理动态内容,进行数据处理和控制流决策,而不仅仅是作为一个静态...
Openresty通过Lua+Redis 实现动态封禁IP
爱折腾的技术人
09-30 1174
为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。刚自己创建的目录,用来存放编译后的openresty。- -requirepass 是redis密码。这里我是基于docker安装的redis。1.安装Openresty(编译安装)选择需要的插件启用,存放第三方插件的位置。
Openresty-lua脚本利用redis键限流
LeeZbug的博客
01-09 548
利用redis配置键的过期时间做到对客户端访问频率进行判断进行限制访问,放到access_by_lua_*阶段。具体代码如下: --Lua --定义关闭redis函数: local function close_redis(red) if not red then return end -- 释放连接(连接池实现),毫秒 local pool_max_idle_time = 10000 -- 连接池大小 local pool_size =
基于openresty的动态白名单和限流
最新发布
qq_45776114的博客
05-27 166
目标: 基于nginx和redis实现动态白名单 + 限流处理。实现: 利用nginxlua脚本模块和 redis执行lua脚本时原子性特性实现
lua判断字符不为空或空格_Lua - 空值判断的几种情况
weixin_40005887的博客
12-20 3028
【小宅按】 在安全领域,lua编程语言因为其小巧在众多工具上都作为插件开发语言,常见的有openresty,nmap等。因此笔者将会开辟一个Lua相关的系列文章,主要记录工作过程中一些领悟或者是一些踩过的坑,希望能够借此平台帮助到读者们。0x00 背景最近在写一段nginx+redis的代码,主要基于openresty,其中使用到了lua-resty-redis库。我平时写代码都比较小心,针对外部...
LUA 异常抛出与捕获
热门推荐
cuijiahao的专栏
10-17 1万+
LUA 异常抛出与捕获
Lua的简单应用
weixin_67755923的博客
03-09 346
lua一些基本的操作
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
OpenRestyNginx的一个扩展,它预装了LuaJIT,并提供了丰富的Lua模块,允许开发者在Nginx内部编写高性能的Lua脚本Nginx-Lua模块是OpenResty的核心部分,它让开发者能够用Lua处理HTTP请求的各个阶段,包括接入、...
nginx-lua-waf:Nginx-Lua-WAF是一种基于Nginx的使用Lua语言开发的灵活高效的Web应用层防火墙
02-03
OpenRestyNginx的一个发行版,集成了LuaJIT,使得开发者可以直接在Nginx配置文件中编写Lua脚本实现动态处理和复杂逻辑,这为构建WAF提供了可能。Lua语言简洁、轻量,且易于学习,因此成为Nginx-Lua-WAF的理想...
lua-nginx-module完全指南.docx
04-26
Nginx-Lua模块使得在Nginx配置文件中嵌入Lua脚本成为可能,从而扩展了Nginx的功能,使其能够处理更复杂的业务逻辑。 首先,我们要理解LuaNginx中的基本执行单位——指令。这些指令定义了Lua代码的执行时机和方式...
nginx-lua-webhook:openresty 网络钩子
06-20
总的来说,`nginx-lua-webhook` 结合了 `OpenResty` 的强大能力和 `Lua` 的灵活性,为企业级 Web 应用提供了高度定制的解决方案,能够在不牺牲性能的前提下实现复杂的应用场景。无论是小型项目还是大型分布式系统,...
Lua学习总结二
StandFull的博客
07-15 590
1.Lua中的循环 Lua中的循环和与C#非常类似,只是方法块没有{ }来包围。 比如while循环: a=1 while (a<=10) do print(a) a=a+1 --Lua中没有a++ a--这种形式的运算哦! end 这就是while循环的使用,至于for循环我们上一篇中展示过了数值for循环,但是Lua中还有一种叫做泛型for循环。 ...
Nginx高级篇】Lua基础语法和OpenResty的安装
m0_62946761的博客
05-15 3423
讲解Lua脚本的基础语法和OpenResty的安装
openresty中使用lua脚本
輘酆的博客
01-24 1464
1. nginx 配置 # 设置lua载路径, 后面的 ;; 为原来的载路径 # 这句代码的含义,相当于在原来的载路径上新增一个 /etc/nginx/conf.d/lua载路径 lua_package_path '/etc/nginx/conf.d/lua/?.lua;;'; #设置共享内存,nginx 本地缓存使用 lua_shared_dict dis_cache 10m; server { listen 80; server_name lua-test.o
openresty lua-resty-mysql使用
weixin_43931625的博客
07-13 1462
openresty lua-resty-mysql使用
lua 条件语句
weixin_43931625的博客
06-12 865
lua 条件语句
lua and or not 逻辑运算符
suntaojiaxin的专栏
04-14 1289
网址http://blog.163.com/yiba_suanzao/blog/static/130557377201432310859210/ and or not 逻辑运算符认为false 和nil 是假(false),其他为真,0 也是true. and 和or 的运算结果不是true 和false,而是和它的两个操作数相关。   注:下面的和其他语法有区别
lua实现登陆超时拦截
yunlong167167的专栏
02-06 1028
local ngx = require("ngx") local resty_redis = require("resty.redis") local resty_cookie = require("resty.cookie") local cjson = require("cjson") local notFilterUrlMap={ ['/mimosaui/login.html'...
Nginx----OpenResty配置反向代理
anlin5820803的博客
04-25 1710
NginxNginx----OpenResty使用说明反向代理功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Ngin...
OpenResty最佳实践:LuaNginx中的高效运用
OpenResty会自动包含所需的Lua环境,开发者可以直接在Nginx配置文件中使用Lua脚本。 **基础数据类型** Lua支持的基本数据类型包括:数字、字符串、布尔值、表(可以视为数组或哈希)、nil和函数。其中,表是Lua的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值