nginx + lua 构建网站防护waf（一）-低调大师

nginx + lua 构建网站防护waf（一）

2018-11-29 791

最近几天比较忙，帮朋友维护一个站点。这个站点是一个Php网站。坑爹的是用IIS做代理。出了无数问题之后忍无可忍终于要我帮他切换到nginx上面，前期被不断的扫描和CC。最后找到了waf这样一个解决方案缓解一下。话不多说直接开始。

waf的作用：

防止sql注入，本地包含，部分溢出，fuzzing测试，xss,SSRF等web攻击
防止svn/备份之类文件泄漏
防止ApacheBench之类压力测试工具的攻击
屏蔽常见的扫描黑客工具，扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录php执行权限
防止webshell上传

nginx 的话我选择春哥开源的：OpenResty一个伟大的项目。

好了步骤开始：

1、安装Luagit:

# wget http://luajit.org/download/LuaJIT-2.1.0-beta1.tar.gz

# tar -xvf LuaJIT-2.1.0-beta1.tar.gz

# cd LuaJIT-2.1.0-beta1

# make

# make install

#ln -sf luajit-2.1.0-beta1 /usr/local/bin/luajit

2、安装openresty:

./configure --prefix=/opt/openresty --with-luajit --without-http_redis2_module --with-http_iconv_module

gmake

gmake install

3、测试openresty:

[root@www ngx_lua_waf]# cd /opt/openresty/nginx/conf/

[root@www conf]# cat nginx.conf

http {

server {

listen 80;

location / {

default_type text/html;

content_by_lua_block {

ngx.say("HelloWorld")

}

###

测试一下访问是否输出hello world，后面应该会有一些列的简介。

[root@www conf]# curl localhost

HelloWorld

4、下载开源项目：

[root@www nginx]# cd /opt/openresty/nginx/

[root@www nginx]# git clone https://github.com/loveshell/ngx_lua_waf.git

5、然后修改nginx添加配置，支持lua脚本地址，在http段位置：

lua_package_path "/opt/openresty/nginx/ngx_lua_waf/?.lua"; ###相关项目存放地址

lua_shared_dict limit 10m; ###存放limit表的大小

init_by_lua_file /opt/openresty/nginx/ngx_lua_waf/init.lua; ###相应地址

access_by_lua_file /opt/openresty/nginx/ngx_lua_waf/waf.lua; ##相应地址

6、修改ngx_lua_waf相关配置：

[root@www ngx_lua_waf]# vim config.lua

RulePath = "/opt/openresty/nginx/ngx_lua_waf/wafconf/" ##指定相应位置

attacklog = "on" ##开启日志

logdir = "/opt/openresty/nginx/logs/hack/" ##日志存放位置

UrlDeny="on" ##是否开启URL防护

Redirect="on" ##地址重定向

CookieMatch="on" ##cookie拦截

postMatch="on" ##post拦截

whiteModule="on" ##白名单

black_fileExt={"php","jsp"}

ipWhitelist={"127.0.0.1"} ##白名单IP

ipBlocklist={"1.0.0.1"} ##黑名单IP

CCDeny="on" ##开启CC防护

CCrate="100/60" ##60秒内允许同一个IP访问100次

7、创建日志存放目录：

[root@www ngx_lua_waf]#mkdir /opt/openresty/nginx/logs/hack/

[root@www ngx_lua_waf]#chown -R nobody:nobody /opt/openresty/nginx/logs/hack/

8、启动nginx测试：

[root@www logs]# /opt/openresty/nginx/sbin/nginx

9、网页访问一条测试：

10、压力测试CC攻击：

把congfig.lua的频率改成如下：

CCDeny="on"

CCrate="50/60"

测试结果：

[root@www ngx_lua_waf]# ab -c 100 -n 100 http://192.168.63.242/index.heml

This is ApacheBench, Version 2.3

Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking 192.168.63.242 (be patient).....done

Server Software: openresty/1.11.2.2

Server Hostname: 192.168.63.242

Server Port: 80

Document Path: /index.heml

Document Length: 2078 bytes

Concurrency Level: 100

Time taken for tests: 0.052 seconds

Complete requests: 100

Failed requests: 49 ###因为做了现在，所以这么多是失败的。

到处已经构建成功了一套waf防御系统，非常感谢loveshell提供这么棒的waf开源项目，还有春哥的openresty.

后期起到更多的lua + nginx学习成果，第一篇完成，希望我们后期都能写出自己的waf防火墙。

微信关注我们

原文链接：https://blog.roncoo.com/article/126294

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

生产环境消息队列ActiveMQ的数据积压优化过程【转】

1 概述最近生产环境的消息通知队列发生了大量的数据积压问题，从而影响到整个平台商户的交易无法正常进行，最后只能通过临时关闭交易量较大的商户来缓解消息队列积压的问题，经线上数据分析，我们的消息队列在面对交易突发洪峰的情况下无法快速的消费并处理队列中的数据，考虑到后续还会出现各种交易量突发状况，以下为针对消息队列（ActiveMQ）的优化过程。 2 消息队列通信图 3 问题定位与分析 3.1 消息通知数据为什么会被积压？分析：平台中每个交易的发生可能会产生一到多条的消息通知数据，这些通知数据会通过消息队列（ActiveMQ）来中转消费并处理，那么在交易量突发洪峰的情况下会产生大量的消息通知数据，如果消息队列（ActiveMQ）的消费能力被阻塞的话会严重影响到数据的吞吐量，从而积压大量数据无法被快速处理！ 3.2 配置了多个ActiveMQ的消费者为什么数据积压还是无法缓解？分析：经过分析消息队列的数据消费处理模块的代码，消息的消费处理是通过监听器SessionAwareMessageListener异步回调onMessage方法而接收消息的，但是在回调的方法onMessage上加了s...

2018-11-29

697

MyCat是一个开源的分布式数据库系统，是一个实现了MySQL协议的服务器，前端用户可以把它看作是一个数据库代理，用MySQL客户端工具和命令行访问，而其后端可以用MySQL原生协议与多个MySQL服务器通信，也可以用JDBC协议与大多数主流数据库服务器通信，其核心功能是分表分库，即将一个大表水平分割为N个小表，存储在后端MySQL服务器里或者其他数据库里。 MyCat发展到目前的版本，已经不是一个单纯的MySQL代理了，它的后端可以支持MySQL、SQL Server、Oracle、DB2、PostgreSQL等主流数据库，也支持MongoDB这种新型NoSQL方式的存储，未来还会支持更多类型的存储。而在最终用户看来，无论是那种存储方式，在MyCat里，都是一个传统的数据库表，支持标准的SQL语句进行数据的操作，这样一来，对前端业务系统来说，可以大幅降低开发难度，提升开发速度网上很有多相关资源，也可以直接访问Mycat官网。 http://www.mycat.io/ 环境 MySql-Master：192.168.252.121MySql-Slave：192.168.252.122...

2018-11-29

628

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。