OpenResty(nginx擴展)實現防cc攻擊

OpenResty(nginx擴展)實現防cc攻擊

做者:朱 茂海 /分類:Nginx, 服務器安全 /Tag:OpenResty 

文章目錄

[隱藏]

• 1、安裝依賴

• 2、luajit安裝

• 3、openresty安裝

• 4、nginx配置

防cc攻擊，推薦使用HttpGuard

 

本文介紹使用openresty來實現防cc攻擊的功能。openresty官網http://openresty.org/cn/index.html。下面是防cc攻擊的流程圖。
根據流程圖，咱們知道防cc攻擊主要包括兩部分，一是限制請求速度，二是給用戶發送js跳轉代碼進行驗證請求是否合法。

1、安裝依賴

centos:

1. yum install readline-devel pcre-devel openssl-devel

ubuntu:

1. apt-get install libreadline-dev libncurses5-dev libpcre3-dev libssl-dev perl

2、luajit安裝

1. cd /tmp/

2. git clone http://luajit.org/git/luajit-2.0.git

3. cd luajit-2.0/

4. make && make install

5. ln -sf luajit-2.0.0-beta10 /usr/local/bin/luajit

6. ln -sf /usr/local/lib/libluajit-5.1.so.2 /usr/lib/

3、openresty安裝

1. cd /tmp

2. wget http://agentzh.org/misc/nginx/ngx_openresty-1.2.4.13.tar.gz

3. tar xzf ngx_openresty-1.2.4.13.tar.gz

4. cd ngx_openresty-1.2.4.13/

5. ./configure --prefix=/usr/local/openresty --with-luajit

6. make && make install

4、nginx配置

nginx.conf:

1. http{

2. [......]

3. lua_shared_dict limit 10m;

4. lua_shared_dict jsjump 10m;

5.  

6.     server {

7. #lua_code_cache off;

8.         listen       80;

9.         server_name  www.centos.bz;

10.  

11.         location / {

12. default_type  text/html;

13. content_by_lua_file "/usr/local/openresty/nginx/conf/lua";

14.         }

15.         location @cc {

16.             internal;

17.             root   html;

18.             index  index.html index.htm;

19.         }

20.     }

21. }

/usr/local/openresty/nginx/conf/lua文件:

1. local ip = ngx.var.binary_remote_addr

2. local limit = ngx.shared.limit

3. local req,_=limit:get(ip)

4. if req then

5.         if req > 20 then

6.                 ngx.exit(503)

7.         else

8.                 limit:incr(ip,1)

9.         end

10. else

11.         limit:set(ip,1,10)

12. end

13.  

14. local jsjump = ngx.shared.jsjump

15. local uri = ngx.var.request_uri

16. local jspara,flags=jsjump:get(ip)

17. local args = ngx.req.get_uri_args()

18. if jspara then

19.     if flags then

20.         ngx.exec("@cc")

21.     else

22.                 local p_jskey=''

23.                 if args["jskey"] and type(args["jskey"])=='table' then

24.                          p_jskey=args["jskey"][table.getn(args["jskey"])]

25.                 else

26.                          p_jskey=args["jskey"]

27.                 end

28.         if p_jskey and p_jskey==tostring(jspara) then

29.                         jsjump:set(ip,jspara,3600,1)

30.                         ngx.exec("@cc")

31.         else

32.                         local url=''

33.                         if ngx.var.args then

34.                                 url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..jspara

35.                         else

36.                                 url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..jspara

37.                         end

38.                         local jscode="<script>window.location.href='"..url.."';</script>"

39.                         ngx.say(jscode)

40.         end

41.     end

42. else

43. math.randomseed( os.time() );

44.     local random=math.random(100000,999999)

45.     jsjump:set(ip,random,60)

46.     local url=''

47.     if ngx.var.args then

48.         url=ngx.var.scheme.."://"..ngx.var.host..uri.."&jskey="..random

49.     else

50.         url=ngx.var.scheme.."://"..ngx.var.host..uri.."?jskey="..random

51.     end

52.     local jscode="<script>window.location.href='"..url.."';</script>"

53.     ngx.say(jscode)

54. end

lua代碼部分解釋：
一、1-12行是限速功能實現，第5和第10行表示10秒鐘內容最多隻能請求20次。
二、14-48行是驗證部分，24行中的3600表示驗證經過後，白名單時間爲3600秒，即1小時。

update: 2013.5.26
一、修復JS無限跳轉bug
二、增長隨機種子

轉載請標明文章來源:《https://www.centos.bz/2012/12/openresty-nginx-block-cc-attack-deploy/》