欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Nginx實現(xiàn)動態(tài)攔截非法訪問ip的方法

 更新時間:2025年02月27日 11:00:28   作者:風(fēng)雨_83  
最近在訪問時不時會被暴力刷量,爬蟲和惡意攻擊導(dǎo)致數(shù)據(jù)庫,服務(wù)等癱瘓,所以本文介紹了在Nginx上實現(xiàn)一個動態(tài)攔截IP的方法,具體是當(dāng)某個IP在1分鐘內(nèi)訪問超過60次時,將其加入Redis并攔截,攔截時間默認(rèn)1天,需要的朋友可以參考下

 背景:訪問時不時會被暴力刷量,爬蟲和惡意攻擊導(dǎo)致數(shù)據(jù)庫,服務(wù)等癱瘓

需求:在Nginx上實現(xiàn)一個動態(tài)攔截IP的方法,具體是當(dāng)某個IP在1分鐘內(nèi)訪問超過60次時,將其加入Redis并攔截,攔截時間默認(rèn)1天。

技術(shù)選型:使用Nginx+Lua+Redis的方法。這種方案通過Lua腳本在Nginx處理請求時檢查Redis中的黑名單,同時統(tǒng)計訪問頻率,超過閾值就封禁。這應(yīng)該符合用戶的需求。

需要結(jié)合Lua腳本和Redis的計數(shù)功能。安裝OpenResty,配置Nginx的Lua模塊,編寫Lua腳本統(tǒng)計訪問次數(shù),使用Redis存儲和過期鍵,以及設(shè)置攔截邏輯。連接池的使用,避免頻繁連接Redis影響性能。

一、環(huán)境準(zhǔn)備

  • 安裝OpenResty

OpenResty集成了Nginx和Lua模塊,支持直接運(yùn)行Lua腳本:

# Ubuntu/Debian
sudo apt-get install openresty
# CentOS
yum install openresty
  • 安裝Redis服務(wù)
sudo apt-get install redis-server  # Debian系
sudo yum install redis             # RedHat系

二、Nginx配置

  • 主配置文件(nginx.conf)http塊中添加共享內(nèi)存和Lua腳本路徑:

http {
    lua_package_path "/usr/local/openresty/lualib/?.lua;;";
    lua_shared_dict ip_limit 10m;  # 共享內(nèi)存區(qū)

    server {
        listen 80;
        server_name _;

        location / {
            access_by_lua_file /usr/local/lua/ip_block.lua;  # 核心攔截腳本
            root /var/www/html;
        }
    }
}

三、Lua腳本實現(xiàn)動態(tài)攔截

  • 腳本路徑創(chuàng)建Lua腳本:/usr/local/lua/ip_block.lua

  • 腳本內(nèi)容

local redis = require "resty.redis"
local red = redis:new()

-- Redis連接參數(shù)
local redis_host = "127.0.0.1"
local redis_port = 6379
local redis_timeout = 1000  -- 毫秒
local redis_auth = nil       -- 無密碼留空

-- 攔截參數(shù)
local block_time = 86400     -- 封禁時間(1天)
local time_window = 60       -- 統(tǒng)計窗口(1分鐘)
local max_requests = 60     -- 最大請求數(shù)

-- 獲取客戶端IP
local function get_client_ip()
    local headers = ngx.req.get_headers()
    return headers["X-Real-IP"] or headers["x_forwarded_for"] or ngx.var.remote_addr
end

-- 連接Redis
local function connect_redis()
    red:set_timeout(redis_timeout)
    local ok, err = red:connect(redis_host, redis_port)
    if not ok then
        ngx.log(ngx.ERR, "Redis連接失敗: ", err)
        return nil
    end
    if redis_auth then
        local ok, err = red:auth(redis_auth)
        if not ok then ngx.log(ngx.ERR, "Redis認(rèn)證失敗: ", err) end
    end
    return ok
end

-- 主邏輯
local client_ip = get_client_ip()
local counter_key = "limit:count:" .. client_ip
local block_key = "limit:block:" .. client_ip

-- 檢查是否已封禁
local is_blocked, err = red:get(block_key)
if tonumber(is_blocked) == 1 then
    ngx.exit(ngx.HTTP_FORBIDDEN)  -- 直接返回403
end

-- 統(tǒng)計請求次數(shù)
connect_redis()
local current_count = red:incr(counter_key)
if current_count == 1 then
    red:expire(counter_key, time_window)  -- 首次設(shè)置過期時間
end

-- 觸發(fā)封禁條件
if current_count > max_requests then
    red:setex(block_key, block_time, 1)   -- 封禁并設(shè)置1天過期
    red:del(counter_key)                  -- 刪除計數(shù)器
    ngx.exit(ngx.HTTP_FORBIDDEN)
end

-- 釋放Redis連接
red:set_keepalive(10000, 100)

四、性能優(yōu)化

  • Redis連接池通過set_keepalive復(fù)用連接,避免頻繁建立TCP連接
  • 共享內(nèi)存緩存使用lua_shared_dict緩存高頻訪問IP,減少Redis查詢壓力

  • 異步日志記錄封禁操作異步寫入日志文件,避免阻塞請求處理:

ngx.timer.at(0, function()
    local log_msg = string.format("%s - IP %s blocked at %s", 
        ngx.var.host, client_ip, ngx.localtime())
    local log_file = io.open("/var/log/nginx/blocked_ips.log", "a")
    log_file:write(log_msg, "\n")
    log_file:close()
end)

五、驗證與測試

  • 手動觸發(fā)封禁
# 模擬高頻請求
ab -n 100 -c 10 http://your-domain.com/
# 檢查Redis
redis-cli keys "limit:block:*"
  • 自動解封驗證

等待24小時后檢查封禁IP是否自動刪除:

redis-cli ttl "limit:block:1.2.3.4"  # 返回剩余秒數(shù)

六、擴(kuò)展方案

  • 分布式封禁
    在多臺Nginx服務(wù)器間共享Redis黑名單,實現(xiàn)集群級攔截

  • 可視化監(jiān)控
    通過Grafana+Prometheus展示實時攔截數(shù)據(jù):

# 采集Redis指標(biāo)
prometheus-redis-exporter --redis.address=localhost:6379
  • 動態(tài)調(diào)整閾值
    通過Redis Hash存儲不同路徑的攔截規(guī)則:
local rule_key = "limit:rule:" .. ngx.var.uri
local custom_rule = red:hget(rule_key, "max_requests")

引用說明

  • 核心攔截邏輯參考了Nginx+Lua+Redis的經(jīng)典架構(gòu)設(shè)計
  • Redis鍵過期機(jī)制確保自動解封
  • 性能優(yōu)化方案借鑒了OpenResty最佳實踐

以上就是Nginx實現(xiàn)動態(tài)攔截非法訪問ip的方法的詳細(xì)內(nèi)容,更多關(guān)于Nginx動態(tài)攔截IP的資料請關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

  • Nginx與Lua灰度發(fā)布的實現(xiàn)

    Nginx與Lua灰度發(fā)布的實現(xiàn)

    這篇文章主要介紹了Nginx與Lua灰度發(fā)布的實現(xiàn),文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2020-03-03
  • Nginx的流式響應(yīng)配置實現(xiàn)小結(jié)

    Nginx的流式響應(yīng)配置實現(xiàn)小結(jié)

    nginx是一款自由的、開源的、高性能的HTTP服務(wù)器和反向代理服務(wù)器,本文主要介紹了Nginx的流式響應(yīng)配置實現(xiàn)小結(jié),具有一定的參考價值,感興趣的可以了解一下
    2024-04-04
  • 1分鐘搞定Nginx版本的平滑升級與回滾的方法

    1分鐘搞定Nginx版本的平滑升級與回滾的方法

    這篇文章主要介紹了1分鐘搞定Nginx版本的平滑升級與回滾的方法,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-10-10
  • CentOS 7.0下nginx實現(xiàn)每天定時分割日志

    CentOS 7.0下nginx實現(xiàn)每天定時分割日志

    大家都知道Nginx產(chǎn)生的日志都是存在一個文件,隨著網(wǎng)站運(yùn)行時間越長,日志文件的大小也在不斷增長,所以這個時候就需要實現(xiàn)定時分割,這篇文章主要介紹了在CentOS 7.0下nginx實現(xiàn)每天定時分割日志的相關(guān)資料,需要的朋友可以參考下。
    2017-04-04
  • 通過nginx實現(xiàn)訪問服務(wù)器指定目錄下圖片資源

    通過nginx實現(xiàn)訪問服務(wù)器指定目錄下圖片資源

    這篇文章為大家詳細(xì)主要介紹了如何通過nginx實現(xiàn)訪問服務(wù)器指定目錄下圖片資源,文中通過圖文進(jìn)行了詳細(xì)的講解,有需要的小伙伴可以了解下
    2023-10-10
  • 使用nginx解決前端js下載跨域問題

    使用nginx解決前端js下載跨域問題

    訂單系統(tǒng)增加附件預(yù)覽,下載的功能,但是這個附件是客戶推單時推送過來的,文件連接是類似oss連接,但是是客戶的域名,所以導(dǎo)致跨域問題,本文小編將給大家介紹如何用nginx解決前端js下載跨域問題,需要的朋友可以參考下
    2023-10-10
  • 強(qiáng)大的Nginx配置生成器詳解

    強(qiáng)大的Nginx配置生成器詳解

    Nginx?Config?是一款可以一鍵生成?Nginx?配置的神器,相當(dāng)給力,這篇文章主要介紹了強(qiáng)大的Nginx配置生成器,需要的朋友可以參考下
    2022-11-11
  • nginx報錯connect() failed(111: Connection refused)while connecting to upstream解決方法

    nginx報錯connect() failed(111: Connection refus

    本文主要介紹了nginx報錯connect() failed(111: Connection refused)while connecting to upstream解決方法,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2023-06-06
  • nginx反向代理時如何保持長連接

    nginx反向代理時如何保持長連接

    如果我們使用了nginx去作為反向代理或者負(fù)載均衡,從客戶端過來的長連接請求就會被轉(zhuǎn)換成短連接發(fā)送給服務(wù)器端。為了支持長連接,我們需要在nginx服務(wù)器上做一些配置。
    2020-10-10
  • 神器!最佳 Nginx 日志分析工具 GoAccess

    神器!最佳 Nginx 日志分析工具 GoAccess

    非常小又精悍的 Nginx 日志分析工具 GoAccess,今天在 CentOS VPS 上安裝測試了一番,就2個字,神器!
    2014-02-02

最新評論