OpenResty(nginx扩展)实现防cc攻击

导读 OpenResty 通过汇聚各种设计精良的 Nginx 模块(主要由 OpenResty 团队自主开发),从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统
流程图

本文介绍使用openresty来实现防cc攻击的功能。openresty官网http://openresty.org/cn/index.html。下面是防cc攻击的流程图。
根据流程图,我们知道防cc攻击主要包括两部分,一是限制请求速度,二是给用户发送js跳转代码进行验证请求是否合法。

安装依赖

RHEL/Centos:

yum install readline-devel pcre-devel openssl-devel

ubuntu:

apt-get install libreadline-dev libncurses5-dev libpcre3-dev libssl-dev perl
luajit安装
    cd /tmp/

    git clone http://luajit.org/git/luajit-2.0.git

    cd luajit-2.0/

    make && make install

    ln -sf luajit-2.0.0-beta10 /usr/local/bin/luajit

    ln -sf /usr/local/lib/libluajit-5.1.so.2 /usr/lib/
openresty安装
    cd /tmp

    wget http://agentzh.org/misc/nginx/ngx_openresty-1.2.4.13.tar.gz

    tar xzf ngx_openresty-1.2.4.13.tar.gz

    cd ngx_openresty-1.2.4.13/

    ./configure --prefix=/usr/local/openresty --with-luajit

    make && make install
nginx配置

nginx.conf:

    http{

    [......]

    lua_shared_dict limit 10m;

    lua_shared_dict jsjump 10m;

        server {

    #lua_code_cache off;

            listen       80;

            server_name  www.centos.bz;

            location / {

    default_type  text/html;

    content_by_lua_file "/usr/local/openresty/nginx/conf/lua";

            }

            location @cc {

                internal;

                root   html;

                index  index.html index.htm;

            }

        }

    }

/usr/local/openresty/nginx/conf/lua文件:

    local ip = ngx.var.binary_remote_addr

    local limit = ngx.shared.limit

    local req,_=limit:get(ip)

    if req then

            if req > 20 then

                    ngx.exit(503)

            else

                    limit:incr(ip,1)

            end

    else

            limit:set(ip,1,10)

    end

    local jsjump = ngx.shared.jsjump

    local uri = ngx.var.request_uri

    local jspara,flags=jsjump:get(ip)

    local args = ngx.req.get_uri_args()

    if jspara then

        if flags then

            ngx.exec("@cc")

        else

                    local p_jskey=''

                    if args["jskey"] and type(args["jskey"])=='table' then

                             p_jskey=args["jskey"][table.getn(args["jskey"])]

                    else

                             p_jskey=args["jskey"]

                    end

            if p_jskey and p_jskey==tostring(jspara) then

                            jsjump:set(ip,jspara,3600,1)

                            ngx.exec("@cc")

            else

                            local url=''

                            if ngx.var.args then

                                   url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..jspara

                            else

                                   url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..jspara

                            end

                            local jscode="window.location.href='"..url.."';"

                            ngx.say(jscode)

            end

        end

    else

    math.randomseed( os.time() );

        local random=math.random(100000,999999)

        jsjump:set(ip,random,60)

        local url=''

        if ngx.var.args then

            url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..random

        else

            url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..random

        end

        local jscode="window.location.href='"..url.."';"

        ngx.say(jscode)

    end

lua代码部分解释:
1、1-12行是限速功能实现,第5和第10行表示10秒钟内容最多只能请求20次。
2、14-48行是验证部分,24行中的3600表示验证通过后,白名单时间为3600秒,即1小时。

update: 2013.5.26
1、修复JS无限跳转bug
2、增加随机种子

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:https://www.linuxprobe.com/

OpenResty(nginx扩展)实现防cc攻击的更多相关文章

  1. nginx利用limit模块设置IP并发防CC攻击

    nginx利用limit模块设置IP并发防CC攻击 分类: 系统2013-01-21 09:02 759人阅读 评论(0) 收藏 举报 来源:http://blog.xencdn.net/nginx- ...

  2. 防cc攻击利器之Httpgrard

    一.httpgrard介绍 HttpGuard是基于openresty,以lua脚本语言开发的防cc攻击软件.而openresty是集成了高性能web服务器Nginx,以及一系列的Nginx模块,这其 ...

  3. 使用Nginx的配置对cc攻击进行简单防御

    ddos攻击:分布式拒绝服务攻击,就是利用大量肉鸡或伪造IP,发起大量的服务器请求,最后导致服务器瘫痪的攻击. cc攻击:类似于ddos攻击,不过它的特点是主要是发起大量页面请求,所以流量不大,但是却 ...

  4. linux中防CC攻击两种实现方法(转)

    CC攻击就是说攻击者利用服务器或代理服务器指向被攻击的主机,然后模仿DDOS,和伪装方法网站,这种CC主要是用来攻击页面的,导致系统性能用完而主机挂掉了,下面我们来看linux中防CC攻击方法. 什么 ...

  5. 使用Discuz!自带参数防御CC攻击以及原理,修改Discuz X 开启防CC攻击后,不影响搜索引擎收录的方法

    这部份的工作,以前花的时间太少. 希望能产生一定的作用. http://www.nigesb.com/discuz-cc-attacker-defence.html http://bbs.zb7.co ...

  6. PHP防CC攻击代码

    PHP防CC攻击代码: empty($_SERVER['HTTP_VIA']) or exit('Access Denied'); //代理IP直接退出 session_start(); $secon ...

  7. 防cc攻击策略

    黑客攻击你的网站,会采取各种各样的手段,其中为了降低你网站的访问速度,甚至让你的服务器瘫痪,它会不断的刷新你的网站,或者模拟很多用户同一时间大量的访问你的网站, 这就是所谓的CC攻击,这就需要我们在程 ...

  8. Linux系统防CC攻击自动拉黑IP增强版Shell脚本 《Linux系统防CC攻击自动拉黑IP增强版Shell脚本》来自张戈博客

    前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个 ...

  9. Nginx 防CC攻击拒绝代理访问

    先大概说说简单的结构…前端一个Nginx反向代理,后端一个Nginx instance app for PHP…实际上就是个Discuz,之前面对CC攻击都是预警脚本或者走CDN,但是这次攻击者不再打 ...

随机推荐

  1. MySQL 5.6 警告信息 command line interface can be insecure 修复

    在命令行输入密码,就会提示这些安全警告信息. Warning: Using a password on the command line interface can be insecure.   注: ...

  2. SharePoint咨询师之路:设计之前的那些事二:规模

    提示:本系列只是一个学习笔记系列,大部分内容都可以从微软官方网站找到,本人只是按照自己的学习路径来学习和呈现这些知识. 有些内容是自己的经验和积 累,如果有不当之处,请指正. 咨询师更多的时候是解决方 ...

  3. c#读properties文件

    @(编程) properties文件 MONGO_URL = mongodb://172.16.20.3/srtc_dc CURRENT_VERSION = 2.0 IS_AUTO_UPDATE = ...

  4. 关于VBox安装GhostXP出现蓝屏processr.sys 的解决办法

    用VirtualBox虚拟系统安装了一个Ghost XP SP3,还原系统后,重启进入Windows XP时,出现蓝屏提示processr.sys, 蓝屏代码为0x000000CE提示处理器驱动文件问 ...

  5. emWin(ucGui) Edit控件数值模式 ——符号编辑 worldsing

    emWin(ucGui) Edit控件数值模式出现负数值编辑时,如果键盘按键全可以设置独立的"-","+"键,这样可以正常编辑正数和负数,但是要没有设置这两个键 ...

  6. How Tomcat Works(十四)补充

    在How Tomcat Works(十四)中,本人并没有对javax.servlet.Filter及javax.servlet.FilterChain做详细的描述,本文在这里做一下补充 FilterC ...

  7. 用JS或jQuery访问页面内的iframe,兼容IE/FF

    用JS或jQuery访问页面内的iframe,兼容IE/FF js或者jQuery访问页面中的框架也就是iframe.注意:框架内的页面是不能跨域的! 假设有两个页面,在相同域下. index.htm ...

  8. eclipse设置默认编码格式为UTF-8

    需要设置的几处地方为: Window->Preferences->General ->Content Type->Text->JSP 最下面设置为UTF-8 Window ...

  9. 高性能的JavaScript -- 读书笔记

    高性能的JavaScript 一.      加载和运行 将脚本放在底部 脚本下载解析执行时,页面已经加载完成并显示在用户面前 成组脚本 减少外部脚本文件数量,整合成一个文件 延迟脚本 动态脚本元素 ...

  10. cocos2d-x 如何保持屏幕常亮

    转自:http://blog.csdn.net/wolfking_2009/article/details/8939027 貌似cocos2d-x没有接口直接做这个功能 而各个平台又不一样,所以只能对 ...