千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

nginx中如何实现ip黑名单动态封禁

发表于:2024-11-28 作者:千家信息网编辑
千家信息网最后更新 2024年11月28日,这篇文章给大家分享的是有关nginx中如何实现ip黑名单动态封禁的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。网站被恶意请求,拉黑IP是重要的手段,如果每次拉黑都要到ngi
千家信息网最后更新 2024年11月28日nginx中如何实现ip黑名单动态封禁

这篇文章给大家分享的是有关nginx中如何实现ip黑名单动态封禁的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。

网站被恶意请求,拉黑IP是重要的手段,如果每次拉黑都要到nginx上配置,未免太low了;我们需要更方便的控制nginx IP黑名单。

1.方案

黑名单持久化到mysql (常见的方案是redis,但不利于控制,如:不同的IP设置不同的有效期、IP的CRUD、统计等等);

通过lua-nginx-module,在nginx中开辟一块内存(lua_shared_dict),lua将黑名单定期从mysql全量刷新至lua_shared_dict;

所有请求,都要到与lua_shared_dict中的IP check一下。

2.安装

2.1 安装luajit

cd LuaJIT-2.0.5makemake install PREFIX=/usr/local/luajit

2.2.安装nginx时,将lua模块编译进去

export LUAJIT_LIB=/usr/local/luajit/libexport LUAJIT_INC=/usr/local/luajit/include/luajit-2.1 ./configure --prefix=/nginx \--with-ld-opt="-Wl,-rpath,/usr/local/luajit/lib" \--add-module=/opt/ngx_devel_kit-0.3.1rc1 \--add-module=/opt/lua-nginx-module-0.10.14rc3 make -j2make installln -s /nginx/sbin/nginx /usr/sbin/nginx

3.配置

3.1 nginx配置

http {  server_tokens off;  lua_package_path "/usr/local/lib/lua/?.lua;;";  lua_shared_dict ip_blacklist 4m;} server {  set $real_ip $remote_addr;  if ( $http_x_forwarded_for ~ "^(\d+\.\d+\.\d+\.\d+)" ) {    set $real_ip $1;  }   # 管理信息,访问该URL可以查看nginx中的IP黑名单信息  location /get-ipblacklist-info {    access_by_lua_file conf/lua/get_ipblacklist_info.lua;  }   # 同步URL,通过定时任务调用该URL,实现IP黑名单从mysql到nginx的定时刷新  location /sync-ipblacklist {   access_by_lua_file conf/lua/sync_ipblacklist.lua;  }   # 生产域名配置,所有需要IP黑名单控制的location,都要包含以下语句  location / {   access_by_lua_file conf/lua/check_realip.lua;  } }

nginx服务器配置以下crrontab

* * * * * /usr/bin/curl -o /dev/null -s http://127.0.0.1/sync-ipblacklist > /dev/null 2>&1

3.2 lua脚本

sync_ipblacklist.lua

local mysql_host = "ip of mysql server"local mysql_port = 3306local database = "dbname"local username = "user"local password = "password" -- update ip_blacklist from mysql once every cache_ttl secondslocal cache_ttl  = 1local mysql_connection_timeout = 1000 local client_ip  = ngx.var.real_iplocal ip_blacklist  = ngx.shared.ip_blacklistlocal last_update_time = ip_blacklist:get("last_update_time"); if last_update_time == nil or last_update_time < ( ngx.now() - cache_ttl ) then  local mysql = require "resty.mysql"; local red = mysql:new();  red:set_timeout(mysql_connect_timeout);  local ok, err, errcode, sqlstate = red:connect{     host = mysql_host,     port = mysql_port,     database = database,     user = username,     password = password,     charset = "utf8",     max_packet_size = 1024 * 1024,    } if not ok then ngx.log(ngx.ERR, "mysql connection error while retrieving ip_blacklist: " .. err); else new_ip_blacklist, err, errcode, sqlstate = red:query("select ip_addr from ip_blacklist where status = 0 order by create_time desc limit 10000", 100) if not new_ip_blacklist then  ngx.log(ngx.ERR, "bad result. errcode: " .. errcode .. " sqlstate: " .. sqlstate .. " err: " .. err);  return end  ip_blacklist:flush_all(); for k1, v1 in pairs(new_ip_blacklist) do  for k2, v2 in pairs(v1) do  ip_blacklist:set(v2,true);  end end  ip_blacklist:set("last_update_time", ngx.now()); endend ngx.say("sync successful");

get_ipblacklist_info.lua

-- 调用URL查看黑名单信息-- 1万IP消耗不到1.5M ngx.shared内存-- 获取所有KEY会堵塞别的正常请求对ngx.shared内存的访问,因此只能取少数key展示require "resty.core.shdict"ngx.say("total space: " .. ngx.shared.ip_blacklist:capacity() .. "
");ngx.say("free space: " .. ngx.shared.ip_blacklist:free_space() .. "
");ngx.say("last update time: " .. os.date("%Y%m%d_%H:%M:%S",ngx.shared.ip_blacklist:get("last_update_time")) .. "
");ngx.say("first 100 keys: 
");ngx.say("--------------------------
");ip_blacklist = ngx.shared.ip_blacklist:get_keys(100);for key, value in pairs(ip_blacklist) do ngx.say(key .. ": " .. value .. "
");end

check_realip.lua

if ngx.shared.ip_blacklist:get(ngx.var.real_ip) then return ngx.exit(ngx.HTTP_FORBIDDEN);end

3.3 数据库设计

CREATE TABLE `ip_blacklist` ( `id` int(11) NOT NULL AUTO_INCREMENT, `ip_addr` varchar(15) COLLATE utf8mb4_bin DEFAULT NULL, `status` int(11) DEFAULT '0' COMMENT '0: valid 有效, 1: invalid 失效', `effective_hour` decimal(11,2) DEFAULT '24' COMMENT '有效期,单位:小时', `ip_source` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '黑名单来源', `create_time` datetime DEFAULT CURRENT_TIMESTAMP, `modify_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, `remark` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '备注', PRIMARY KEY (`id`)) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;  CREATE PROCEDURE proc_ip_blacklist_status_update()-- 将过期的IP状态改为失效begin  update ip_blacklist set status=1 where date_add(create_time,INTERVAL effective_hour hour) < now(); commit;end;  CREATE EVENT job_ip_blacklist_status_updateON SCHEDULE EVERY 1 MINUTEON COMPLETION PRESERVEENABLEDOcall proc_ip_blacklist_status_update();

4 CRUD

黑名单产生有手工的方式,也有自动的方式,或者两者兼有。

自动的方式有通过python分析elk日志,将恶意IP自动写入mysql,这是个大话题,这里不涉及。

手工的方式可以人肉查看elk请求日志,发现恶意IP,手工填入mysql,这里推荐一个开源的CRUD工具,用户体验很nice(比直接navicat好多了),当然也可以自己写……

项目地址:https://github.com/jonseg/crud-admin-generator

项目的强大之处在于,所有表都帮你生成菜单,然后这些表的CRUD就直接用了。

具体操作见官方说明,就不赘述了。

感谢各位的阅读!关于"nginx中如何实现ip黑名单动态封禁"这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!

很赞哦!
黑名单 黑名 配置 方式 有效 信息 内存 恶意 手工 控制 动态 封禁 不同 内容 方案 日志 更多 有效期 篇文章 项目 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 江苏商业软件开发价格大全 如何登录服务器的管理口 云南收集客户外贸软件开发 深圳拓石软件开发有限公司 安卓sdk代理服务器 贵州网络软件开发定制服务费 绝地求生比赛服务器 期刊资源共享数据库 互联网科技碰撞 忻州24u服务器机柜定做 机关网络安全检测应急预案 直播软件软件开发 网络数据库技术课程论文 网络安全监测文档 数据库csv导出文件 新型网络技术骗术 网页设计链接数据库 sci一般需要多少个数据库 如何模拟测试服务器环境 赛迪网络安全吗 廊坊迈捷网络技术 ai服务器厂家推荐 数据库的文案结构类型包括 互联网十五大科技趋势 自己弄家庭服务器 期刊资源共享数据库 小型php服务器 天河区正规网络技术开发工艺 用笔记本控制服务器 超市网络安全需求分析

相关文章

0