1、简述
在日常的生产环境中,网站可能会遭遇恶意请求、DDoS 攻击或其他有害的访问行为。为了应对这些情况,动态封禁 IP 是一项十分重要的安全策略。本篇博客将介绍如何通过 NGINX 实现动态封禁 IP,从配置到自动化的实现步骤。
2、实现方式
NGINX 本身支持简单的基于 IP 的访问控制(如 deny 和 allow 指令),但要实现动态封禁,通常结合以下几种方案:
- fail2ban:一个常用的自动封禁工具,通过监控日志发现恶意行为并自动修改 NGINX 配置文件。
- nginx 动态模块:如 ngx_http_limit_req_module 和 ngx_http_limit_conn_module,用于限制请求频率和并发数,结合脚本实现 IP 封禁。
- 基于 Redis 或数据库的方案:可以通过 Lua 脚本或第三方模块,从 Redis 或 MySQL 等存储中动态加载封禁的 IP 列表。
3、使用 fail2ban 动态封禁
fail2ban 是一种常见的动态封禁工具,通过监控日志文件中的恶意行为自动更新 NGINX 配置。下面是通过 fail2ban 实现动态封禁的步骤。
3.1 安装 fail2ban
sudo apt-get update
sudo apt-get install fail2ban
3.2 配置 NGINX 日志
确保 NGINX 配置中的日志能记录恶意请求。以下是一个简单的日志配置:
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
}
3.3 配置 fail2ban 规则
创建 NGINX 的过滤规则,编辑 /etc/fail2ban/filter.d/nginx-http-auth.conf,加入以下规则来匹配日志中的恶意行为:
[Definition]
failregex = ^<HOST> -.*"(GET|POST).*HTTP/.*".* 403
ignoreregex =
3.4 设置 fail2ban 的 jail 配置
在 /etc/fail2ban/jail.local 文件中,增加对 NGINX 的监控配置:
[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/access.log
maxretry = 5
- logpath:指向 NGINX 的日志文件。
- maxretry:设置多少次失败后封禁 IP。
3.5 启动 fail2ban
sudo service fail2ban restart
这样,当某个 IP 连续访问 5 次 403 页面时,它将被自动封禁。
4、使用 NGINX 的 limit 模块动态限制
NGINX 自带的 ngx_http_limit_req_module 和 ngx_http_limit_conn_module 可以用于动态限制请求。通过设置请求频率和并发连接数,可以有效抵御恶意爬虫和 DDoS 攻击。
4.1 配置请求频率限制
在 NGINX 配置中加入以下代码来限制每个 IP 的请求频率:
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
location / {
limit_req zone=one burst=5;
}
}
}
- limit_req_zone:定义一个共享内存区域,用于记录请求速率。
- rate=1r/s:每个 IP 限制为每秒最多 1 次请求。
4.2 动态调整限制
要用 Redis 和 Lua 实现动态封禁恶意 IP 的功能,可以借助 Redis 的计数和过期特性。在 Redis 中,可以用 Lua 脚本来动态检测某个 IP 的请求频率,一旦超过设定的阈值,就对该 IP 进行封禁。
以下是一个 Lua 脚本的样例,用于封禁恶意 IP。假设我们会在 Redis 中记录每个 IP 的请求次数,并在达到限制后进行封禁。以下 Lua 脚本实现了上述逻辑,设定了一个限制:IP 在 60 秒内请求 10 次以上会触发封禁,封禁持续 3600 秒(1 小时):
-- Lua 脚本实现动态封禁恶意IP
local ip = KEYS[1] -- 传入的 IP 地址
local max_requests = tonumber(ARGV[1]) -- 最大请求次数
local ban_time = tonumber(ARGV[2]) -- 封禁持续时间
local expire_time = tonumber(ARGV[3]) -- IP 计数的过期时间
-- 构建 Redis 键
local ip_key = "ip:" .. ip
local ban_key = "ban:" .. ip
-- 检查 IP 是否已封禁
if redis.call("EXISTS", ban_key) == 1 then
return {false, "IP 已封禁"}
end
-- 增加 IP 请求计数
local count = redis.call("INCR", ip_key)
-- 如果是首次请求,设置请求计数的过期时间
if count == 1 then
redis.call("EXPIRE", ip_key, expire_time)
end
-- 检查请求次数是否超过最大请求限制
if count > max_requests then
-- 达到限制,封禁 IP 并设置封禁时间
redis.call("SET", ban_key, "1")
redis.call("EXPIRE", ban_key, ban_time)
return {false, "已达请求限制,IP 已封禁"}
end
-- 如果请求未超限,返回当前请求计数
return {true, count}
要在 Redis 中执行这个 Lua 脚本,你可以通过 Redis 客户端执行 EVAL 命令。假设 IP 地址是 192.168.0.1,请求限制为 10 次,封禁时间为 3600 秒,计数过期时间为 60 秒:
EVAL "<LUA_SCRIPT>" 2 192.168.0.1 10 3600 60
5、总结
通过以上方法,可以实现 NGINX 下的动态封禁 IP,从而有效保护网站免受恶意攻击。在实际应用中,可以根据需求选择 fail2ban 或 NGINX 自带的模块,甚至结合数据库方案实现更复杂的动态封禁机制。
这篇博客为初学者提供了 NGINX 实现动态封禁 IP 的思路和具体配置示例。你可以根据业务场景灵活调整参数,提升系统安全性。
评论区