OpenResty(nginx扩展)实现防cc攻击

导读 OpenResty 通过汇聚各种设计精良的 Nginx 模块(主要由 OpenResty 团队自主开发),从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统
流程图

本文介绍使用openresty来实现防cc攻击的功能。openresty官网http://openresty.org/cn/index.html。下面是防cc攻击的流程图。
根据流程图,我们知道防cc攻击主要包括两部分,一是限制请求速度,二是给用户发送js跳转代码进行验证请求是否合法。

安装依赖

RHEL/Centos:

yum install readline-devel pcre-devel openssl-devel

ubuntu:

apt-get install libreadline-dev libncurses5-dev libpcre3-dev libssl-dev perl
luajit安装
    cd /tmp/

    git clone http://luajit.org/git/luajit-2.0.git

    cd luajit-2.0/

    make && make install

    ln -sf luajit-2.0.0-beta10 /usr/local/bin/luajit

    ln -sf /usr/local/lib/libluajit-5.1.so.2 /usr/lib/
openresty安装
    cd /tmp

    wget http://agentzh.org/misc/nginx/ngx_openresty-1.2.4.13.tar.gz

    tar xzf ngx_openresty-1.2.4.13.tar.gz

    cd ngx_openresty-1.2.4.13/

    ./configure --prefix=/usr/local/openresty --with-luajit

    make && make install
nginx配置

nginx.conf:

    http{

    [......]

    lua_shared_dict limit 10m;

    lua_shared_dict jsjump 10m;

        server {

    #lua_code_cache off;

            listen       80;

            server_name  www.centos.bz;

            location / {

    default_type  text/html;

    content_by_lua_file "/usr/local/openresty/nginx/conf/lua";

            }

            location @cc {

                internal;

                root   html;

                index  index.html index.htm;

            }

        }

    }

/usr/local/openresty/nginx/conf/lua文件:

    local ip = ngx.var.binary_remote_addr

    local limit = ngx.shared.limit

    local req,_=limit:get(ip)

    if req then

            if req > 20 then

                    ngx.exit(503)

            else

                    limit:incr(ip,1)

            end

    else

            limit:set(ip,1,10)

    end

    local jsjump = ngx.shared.jsjump

    local uri = ngx.var.request_uri

    local jspara,flags=jsjump:get(ip)

    local args = ngx.req.get_uri_args()

    if jspara then

        if flags then

            ngx.exec("@cc")

        else

                    local p_jskey=''

                    if args["jskey"] and type(args["jskey"])=='table' then

                             p_jskey=args["jskey"][table.getn(args["jskey"])]

                    else

                             p_jskey=args["jskey"]

                    end

            if p_jskey and p_jskey==tostring(jspara) then

                            jsjump:set(ip,jspara,3600,1)

                            ngx.exec("@cc")

            else

                            local url=''

                            if ngx.var.args then

                                   url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..jspara

                            else

                                   url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..jspara

                            end

                            local jscode="window.location.href='"..url.."';"

                            ngx.say(jscode)

            end

        end

    else

    math.randomseed( os.time() );

        local random=math.random(100000,999999)

        jsjump:set(ip,random,60)

        local url=''

        if ngx.var.args then

            url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..random

        else

            url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..random

        end

        local jscode="window.location.href='"..url.."';"

        ngx.say(jscode)

    end

lua代码部分解释:
1、1-12行是限速功能实现,第5和第10行表示10秒钟内容最多只能请求20次。
2、14-48行是验证部分,24行中的3600表示验证通过后,白名单时间为3600秒,即1小时。

update: 2013.5.26
1、修复JS无限跳转bug
2、增加随机种子

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:https://www.linuxprobe.com/

OpenResty(nginx扩展)实现防cc攻击的更多相关文章

  1. nginx利用limit模块设置IP并发防CC攻击

    nginx利用limit模块设置IP并发防CC攻击 分类: 系统2013-01-21 09:02 759人阅读 评论(0) 收藏 举报 来源:http://blog.xencdn.net/nginx- ...

  2. 防cc攻击利器之Httpgrard

    一.httpgrard介绍 HttpGuard是基于openresty,以lua脚本语言开发的防cc攻击软件.而openresty是集成了高性能web服务器Nginx,以及一系列的Nginx模块,这其 ...

  3. 使用Nginx的配置对cc攻击进行简单防御

    ddos攻击:分布式拒绝服务攻击,就是利用大量肉鸡或伪造IP,发起大量的服务器请求,最后导致服务器瘫痪的攻击. cc攻击:类似于ddos攻击,不过它的特点是主要是发起大量页面请求,所以流量不大,但是却 ...

  4. linux中防CC攻击两种实现方法(转)

    CC攻击就是说攻击者利用服务器或代理服务器指向被攻击的主机,然后模仿DDOS,和伪装方法网站,这种CC主要是用来攻击页面的,导致系统性能用完而主机挂掉了,下面我们来看linux中防CC攻击方法. 什么 ...

  5. 使用Discuz!自带参数防御CC攻击以及原理,修改Discuz X 开启防CC攻击后,不影响搜索引擎收录的方法

    这部份的工作,以前花的时间太少. 希望能产生一定的作用. http://www.nigesb.com/discuz-cc-attacker-defence.html http://bbs.zb7.co ...

  6. PHP防CC攻击代码

    PHP防CC攻击代码: empty($_SERVER['HTTP_VIA']) or exit('Access Denied'); //代理IP直接退出 session_start(); $secon ...

  7. 防cc攻击策略

    黑客攻击你的网站,会采取各种各样的手段,其中为了降低你网站的访问速度,甚至让你的服务器瘫痪,它会不断的刷新你的网站,或者模拟很多用户同一时间大量的访问你的网站, 这就是所谓的CC攻击,这就需要我们在程 ...

  8. Linux系统防CC攻击自动拉黑IP增强版Shell脚本 《Linux系统防CC攻击自动拉黑IP增强版Shell脚本》来自张戈博客

    前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个 ...

  9. Nginx 防CC攻击拒绝代理访问

    先大概说说简单的结构…前端一个Nginx反向代理,后端一个Nginx instance app for PHP…实际上就是个Discuz,之前面对CC攻击都是预警脚本或者走CDN,但是这次攻击者不再打 ...

随机推荐

  1. Linux环境变量(小马哥推荐)

    /etc/profile:此文件为系统的每个用户设置环境信息,当用户第一次登录时,该文件被执行. 并从/etc/profile.d目录的配置文件中搜集shell的设置. /etc/bashrc:为每一 ...

  2. Mapreduce执行过程分析(基于Hadoop2.4)——(一)

    1 概述 该瞅瞅MapReduce的内部运行原理了,以前只知道个皮毛,再不搞搞,不然怎么死的都不晓得.下文会以2.4版本中的WordCount这个经典例子作为分析的切入点,一步步来看里面到底是个什么情 ...

  3. CUDA ---- 简介

    CUDA简介 CUDA是并行计算的平台和类C编程模型,我们能很容易的实现并行算法,就像写C代码一样.只要配备的NVIDIA GPU,就可以在许多设备上运行你的并行程序,无论是台式机.笔记本抑或平板电脑 ...

  4. [cocos2d-js]按钮整合成大图后打APK后不显示

    网页版本都能正常显示碎图和整合成大图的 手机版本不正常 var btnKick = cc.MenuItemImage.create( "#btn_kick.png", " ...

  5. django admin site (三)

    1.自定义模板设置: ModelAdmin. add_form_template Path to a custom template, used by add_view(). ModelAdmin. ...

  6. DP练习(概率,树状,状压)

    http://vjudge.net/contest/view.action?cid=51211#overview 花了好长时间了,终于把这个专题做了绝大部分了 A:HDU 3853 最简单的概率DP求 ...

  7. CF 86D Powerful array 【分块算法,n*sqrt(n)】

    给定一个数列:A1, A2,……,An,定义Ks为区间(l,r)中s出现的次数. t个查询,每个查询l,r,对区间内所有a[i],求sigma(K^2*a[i]) 离线+分块 将n个数分成sqrt(n ...

  8. halcon,C# 学习

    Halcon学习之一:查询图像参数 1.get_grayval ( Image : : Row, Column : Grayval ) 计算Image图像中坐标为(Row,Column)的点的灰度值G ...

  9. iOS Framework lipo报错 lipo: can't map input file

    fatal error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/ ...

  10. springMVC在jsp传对象到后台

    ==============实体entity======================= package com.jb.pub.entity; import java.io.Serializable ...