OpenResty + Lua + Redis 实现 客户端ip防刷
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OpenResty + Lua + Redis 实现 客户端ip防刷相关的知识,希望对你有一定的参考价值。
一、环境说明:在Centos7上安装openresty
此次安装采用的是下载openresty的yum源来安装
[root@kusou-es11 conf]# sudo yum-config-manager --add-repo https://openresty.org/yum/cn/centos/OpenResty.repo
sudo:yum-config-manager:找不到命令
解决办法:
[root@kusou-es11 conf]# yum -y install yum-utils
下载Openresty的yum源:
[root@kusou-es11 conf]# sudo yum-config-manager --add-repo https://openresty.org/yum/cn/centos/OpenResty.repo
已加载插件:fastestmirror
Repository epel is listed more than once in the configuration
Repository epel-debuginfo is listed more than once in the configuration
Repository epel-source is listed more than once in the configuration
adding repo from: https://openresty.org/yum/cn/centos/OpenResty.repo
grabbing file https://openresty.org/yum/cn/centos/OpenResty.repo to /etc/yum.repos.d/OpenResty.repo
repo saved to /etc/yum.repos.d/OpenResty.repo
安装命令:
yum install openresty openresty-resty openresty-opm
[root@kusou-es11 conf]# yum install openresty openresty-resty openresty-opm
Running transaction
正在安装 : openresty-zlib-1.2.11-3.el7.centos.x86_64 1/7
正在安装 : openresty-openssl-1.1.0h-3.el7.centos.x86_64 2/7
正在安装 : openresty-pcre-8.42-1.el7.centos.x86_64 3/7
正在安装 : openresty-1.15.8.1-1.el7.x86_64 4/7
正在安装 : openresty-resty-1.15.8.1-1.el7.noarch 5/7
正在安装 : openresty-doc-1.15.8.1-1.el7.noarch 6/7
正在安装 : openresty-opm-1.15.8.1-1.el7.noarch
[root@kusou-es11 openresty]# which openresty
/usr/bin/openresty
[root@kusou-es11 openresty]# openresty -v
nginx version: openresty/1.15.8.1
到此处安装完成
[root@kusou-es11 openresty]# ls
bin COPYRIGHT luajit lualib nginx openssl pcre pod resty.index site zlib
[root@kusou-es11 openresty]# pwd
/usr/local/openresty
二、防刷和限流概念介绍:
防刷的概念:
防刷的目的是为了防止有些IP来爬去我们的网页,获取我们的价格等信息。不像普通的搜索引擎,这种爬去行为我们经过统计最高每秒300次访问,平均每秒266次访问。
由于我们的网站的页面都在CDN上,导致我们的CDN流量会定时冒尖。为了防止这种情况,打算将网页页面的访问从CDN切回主站。同时开启防刷功能,目前设置一秒200次访问即视为非法,会阻止10分钟的访问。
限流的概念:
限流的目的是在大促或者流量突增期间,我们的后端服务假设某个接口能够扛住的的QPS为10000,这时候同时有20000个请求进来,经过限流模块,会先放10000个请求,其余的请求会阻塞一段时间。不简单粗暴的返回404,让客户端重试,同时又能起到流量销峰的作用。
原文出处:https://blog.csdn.net/fenglvming/article/details/51996406 此处简单引用,入涉及侵权,及时通知删除
三、客户端ip防刷具体实现
[root@VM_82_178_centos redislua]# cat /usr/local/openresty/nginx/conf/redislua/ipblack.lua
--Lua
--定义关闭redis函数:
local function close_redis(red)
if not red then
return
end
-- 释放连接(连接池实现),毫秒
local pool_max_idle_time = 10000
-- 连接池大小
local pool_size = 100
local ok, err = red:set_keepalive(pool_max_idle_time, pool_size)
local log = ngx_log
if not ok then
log(ngx_ERR, "set redis keepalive error : ", err)
end
end
-- 连接redis
local redis = require(‘resty.redis‘)
local red = redis.new()
red:set_timeout(1000)
local ok, err = red:connect("127.0.0.1", 20108)
if not ok then
ngx.say("failed to connect: ", err)
return
end
local res, err = red:auth("123456")
if not res then
ngx.say("failed to authenticate: ", err)
return
end
--获取客户端真实的ip:
local clientIP = ngx.req.get_headers()["X-Real-IP"]
if clientIP == nil then
clientIP = ngx.req.get_headers()["x_forwarded_for"]
end
if clientIP == nil then
clientIP = ngx.var.remote_addr
end
--定义redis key值格式,incrkey 请求的频率,blockKey被阻塞的key,后面会存入redis:
local incrKey = "user:"..clientIP..":freq"
local blockKey = "user:"..clientIP..":block"
local is_block,err = red:get(blockKey) -- check if ip is blocked
if tonumber(is_block) == 1 then
ngx.exit(403)
close_redis(red)
end
--incr redis操作 默认是从0开始,执行一次会累加1
inc = red:incr(incrKey)
if inc < 10 then
inc = red:expire(incrKey,1)
end
-- 每秒10次以上访问即视为非法,会阻止1分钟的访问
if inc > 10 then
--设置block 为 True 为1
red:set(blockKey,1)
red:expire(blockKey,60)
end
close_redis(red)
nginx配置文件如下:
[root@VM_82_178_centos redislua]# less /usr/local/openresty/nginx/conf/vhost/01ip-blacklist.conf
server
listen 80;
server_name 01ip-blacklist.com;
index index.html index.htm index.php;
root /data/www/test;
location /
access_by_lua_file /usr/local/openresty/nginx/conf/redislua/ipblack.lua;
default_type ‘text/html‘;
#content_by_lua ‘ngx.say("hello world")‘;
access_log /data/wwwlog/01ip_access.log ;
四、测试演示:
ab软件压测:
-c10表示并发用户数为10
-n10表示请求总数为10
[root@VM_82_178_centos ~]# ab -c 10 -n 10 ‘http://01ip-blacklist.com/1.html‘
压测后登录redis查看redis key值
127.0.0.1:20108> keys *
1) "dog1"
2) "user:119.29.97.131:block"
[root@VM_82_178_centos ~]# curl http://01ip-blacklist.com/1.html
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>openresty</center>
</body>
</html>
过一分钟恢复,可以正常的请求
[root@VM_82_178_centos limit]# curl http://01ip-blacklist.com/1.html
1234
以上是关于OpenResty + Lua + Redis 实现 客户端ip防刷的主要内容,如果未能解决你的问题,请参考以下文章