Linux教程網 >> Linux綜合 >> 學習Linux >> OpenResty(nginx擴展)實現防cc攻擊

OpenResty(nginx擴展)實現防cc攻擊

日期：2017/3/6 9:35:57 编辑：學習Linux

OpenResty(nginx擴展)實現防cc攻擊

導讀OpenResty 通過匯聚各種設計精良的 Nginx 模塊（主要由 OpenResty 團隊自主開發），從而將 Nginx 有效地變成一個強大的通用 Web 應用平台。這樣，Web 開發人員和系統工程師可以使用 Lua 腳本語言調動 Nginx 支持的各種 C 以及 Lua 模塊，快速構造出足以勝任 10K 乃至 1000K 以上單機並發連接的高性能 Web 應用系統流程圖
本文介紹使用openresty來實現防cc攻擊的功能。openresty官網http://openresty.org/cn/index.html。下面是防cc攻擊的流程圖。
根據流程圖，我們知道防cc攻擊主要包括兩部分，一是限制請求速度，二是給用戶發送js跳轉代碼進行驗證請求是否合法。
安裝依賴
RHEL/Centos:
yum install readline-devel pcre-devel openssl-devel
ubuntu:
apt-get install libreadline-dev libncurses5-dev libpcre3-dev libssl-dev perl
luajit安裝
cd /tmp/ git clone http://luajit.org/git/luajit-2.0.git cd luajit-2.0/ make && make install ln -sf luajit-2.0.0-beta10 /usr/local/bin/luajit ln -sf /usr/local/lib/libluajit-5.1.so.2 /usr/lib/
openresty安裝
cd /tmp wget http://agentzh.org/misc/nginx/ngx_openresty-1.2.4.13.tar.gz tar xzf ngx_openresty-1.2.4.13.tar.gz cd ngx_openresty-1.2.4.13/ ./configure --prefix=/usr/local/openresty --with-luajit make && make install
nginx配置
nginx.conf:
http{ [......] lua_shared_dict limit 10m; lua_shared_dict jsjump 10m; server { #lua_code_cache off; listen 80; server_name www.centos.bz; location / { default_type text/html; content_by_lua_file "/usr/local/openresty/nginx/conf/lua"; } location @cc { internal; root html; index index.html index.htm; } } }
/usr/local/openresty/nginx/conf/lua文件:
local ip = ngx.var.binary_remote_addr local limit = ngx.shared.limit local req,_=limit:get(ip) if req then if req > 20 then ngx.exit(503) else limit:incr(ip,1) end else limit:set(ip,1,10) end local jsjump = ngx.shared.jsjump local uri = ngx.var.request_uri local jspara,flags=jsjump:get(ip) local args = ngx.req.get_uri_args() if jspara then if flags then ngx.exec("@cc") else local p_jskey='' if args["jskey"] and type(args["jskey"])=='table' then p_jskey=args["jskey"][table.getn(args["jskey"])] else p_jskey=args["jskey"] end if p_jskey and p_jskey==tostring(jspara) then jsjump:set(ip,jspara,3600,1) ngx.exec("@cc") else local url='' if ngx.var.args then url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..jspara else url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..jspara end local jscode="window.location.href='"..url.."';" ngx.say(jscode) end end else math.randomseed( os.time() ); local random=math.random(100000,999999) jsjump:set(ip,random,60) local url='' if ngx.var.args then url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..random else url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..random end local jscode="window.location.href='"..url.."';" ngx.say(jscode) end
lua代碼部分解釋：
1、1-12行是限速功能實現，第5和第10行表示10秒鐘內容最多只能請求20次。
2、14-48行是驗證部分，24行中的3600表示驗證通過後，白名單時間為3600秒，即1小時。
update: 2013.5.26
1、修復JS無限跳轉bug
2、增加隨機種子
原文地址：https://www.centos.bz/2012/12/openresty-nginx-block-cc-attack-deploy/
本文地址：http://www.linuxprobe.com/linux-openresty.html ‎

導讀OpenResty 通過匯聚各種設計精良的 Nginx 模塊（主要由 OpenResty 團隊自主開發），從而將 Nginx 有效地變成一個強大的通用 Web 應用平台。這樣，Web 開發人員和系統工程師可以使用 Lua 腳本語言調動 Nginx 支持的各種 C 以及 Lua 模塊，快速構造出足以勝任 10K 乃至 1000K 以上單機並發連接的高性能 Web 應用系統流程圖
本文介紹使用openresty來實現防cc攻擊的功能。openresty官網http://openresty.org/cn/index.html。下面是防cc攻擊的流程圖。
根據流程圖，我們知道防cc攻擊主要包括兩部分，一是限制請求速度，二是給用戶發送js跳轉代碼進行驗證請求是否合法。
安裝依賴
RHEL/Centos:
yum install readline-devel pcre-devel openssl-devel
ubuntu:
apt-get install libreadline-dev libncurses5-dev libpcre3-dev libssl-dev perl
luajit安裝
cd /tmp/ git clone http://luajit.org/git/luajit-2.0.git cd luajit-2.0/ make && make install ln -sf luajit-2.0.0-beta10 /usr/local/bin/luajit ln -sf /usr/local/lib/libluajit-5.1.so.2 /usr/lib/
openresty安裝
cd /tmp wget http://agentzh.org/misc/nginx/ngx_openresty-1.2.4.13.tar.gz tar xzf ngx_openresty-1.2.4.13.tar.gz cd ngx_openresty-1.2.4.13/ ./configure --prefix=/usr/local/openresty --with-luajit make && make install
nginx配置
nginx.conf:
http{ [......] lua_shared_dict limit 10m; lua_shared_dict jsjump 10m; server { #lua_code_cache off; listen 80; server_name www.centos.bz; location / { default_type text/html; content_by_lua_file "/usr/local/openresty/nginx/conf/lua"; } location @cc { internal; root html; index index.html index.htm; } } }
/usr/local/openresty/nginx/conf/lua文件:
local ip = ngx.var.binary_remote_addr local limit = ngx.shared.limit local req,_=limit:get(ip) if req then if req > 20 then ngx.exit(503) else limit:incr(ip,1) end else limit:set(ip,1,10) end local jsjump = ngx.shared.jsjump local uri = ngx.var.request_uri local jspara,flags=jsjump:get(ip) local args = ngx.req.get_uri_args() if jspara then if flags then ngx.exec("@cc") else local p_jskey='' if args["jskey"] and type(args["jskey"])=='table' then p_jskey=args["jskey"][table.getn(args["jskey"])] else p_jskey=args["jskey"] end if p_jskey and p_jskey==tostring(jspara) then jsjump:set(ip,jspara,3600,1) ngx.exec("@cc") else local url='' if ngx.var.args then url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..jspara else url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..jspara end local jscode="window.location.href='"..url.."';" ngx.say(jscode) end end else math.randomseed( os.time() ); local random=math.random(100000,999999) jsjump:set(ip,random,60) local url='' if ngx.var.args then url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..random else url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..random end local jscode="window.location.href='"..url.."';" ngx.say(jscode) end
lua代碼部分解釋：
1、1-12行是限速功能實現，第5和第10行表示10秒鐘內容最多只能請求20次。
2、14-48行是驗證部分，24行中的3600表示驗證通過後，白名單時間為3600秒，即1小時。
update: 2013.5.26
1、修復JS無限跳轉bug
2、增加隨機種子
原文地址：https://www.centos.bz/2012/12/openresty-nginx-block-cc-attack-deploy/
轉載地址：http://www.linuxprobe.com/linux-openresty.html ‎

http://xxxxxx/Linuxjc/1137394.html TechArticle

上一頁:CentOS7.0 上搭建DevStack開發環境
下一頁:DNS 原理入門

學習Linux

如何使用 Git 管理二進制大對象
如何使用 Git 管理二進制大對象熱度1 評論 184 www.BkJia.Com 網友

如何在阿裡雲Centos下安裝Nginx，阿裡雲centosnginx

Centos 7 修改sshd端口

Debian Unstable 將默認采用 GCC 6

CentOS關於quota的總結與實踐

CentOS7.2內核版本查看簡述

Linux特殊符號淺談，linux特殊符號

linux清理內存命令，linux清理命令

Linux 新手特別喜歡犯的七大錯誤解剖

Linux教程網

Ubunt安裝和配置tomcat8服務
CSDN GitHub Ubunt安裝和配置tomcat8服務 AderXCoding/s

解決CentOS 7 history命令不顯示操作記錄的時間和用戶身份問題

Centos7+Postfix+Dovecot實現郵件收發

給Android設備增加串口功能

一步一步學Linux C：Linux文件組織信息

SecureCRT遠程連接到虛擬機RedHat Linux上

OneinStack 1.1 發布，一鍵 PHP/JAVA 安裝工具

HPLIP安裝詳解（HP網絡打印機的通用裝法）

Linux系統在CPAN中安裝Perl模塊的方法

相关文章

CentOS中如何安裝配置proftp系統軟件
Vfloppy通過CD光盤安裝Linux到硬盤運行
解決Linux Nginx下Zend無法正常加載問題
最簡單的解決Linux下Openoffice亂碼方法
Ubuntu Linux操作系統建立wikipedia鏡像
實用技巧：CentOS 5.1系統下掛載NTFS分區
CentOS5安裝apache和svk使用域用戶驗證
如何在Linux系統中安裝OpenOffice
Linux為OpenSSL添加自定義加密算法的技巧
CentOS系統安裝JDK8的步驟
CentOS系統如何把IP從Fail2ban黑名單中移除
CentOS6.5系統中的yum如何安裝LAMP
linux批量操作時提示Argument list too long解決方法
Linux下如何使用enca查看文件編碼並轉換?

Linux軟件 Linux桌面 Linux內核 Linux嵌入式 Linux安裝 Linux命令 Ubuntu Linux Red hat Linux Linux資訊紅旗Linux 學習Linux

文章推荐

字符界面裡安裝CentOS圖形界面
字符界面裡安裝CentOS圖形界面字符界面裡

linux進程間通信（一）之管道，linux進程通信管道
linux進程間通信（一）之管道，linux

Linux命令大全
Linux命令大全Linux命令大全系統信息

小白學Linux--命令行基本操作，linux--基本操作
小白學Linux--命令行基本操作，linu

热点聚焦

谷歌公司再出大招，Chrome 新版本發布

CentOS下PS命令詳解整理

PPTP服務器配置選項詳解整理

Git 技能學習總結

CentOS 6 內核進行了安全更新

一個通用的Makefile框架，通用Makefile框架

[APUE]進程控制(上)，apue進程控制

Linux 的實踐主義

Linux Centos7下安裝Python，centos7python

配置 EPEL yum 源，配置epelyum