使用redis製作一個簡單的防禦模塊 抵禦惡意http請求攻擊 前言 一、原理和思路 二、程序步驟 三、功能測試 四、總結和後語

使用redis製作一個簡單的防禦模塊 抵禦惡意http請求攻擊

---

前言

本人是個菜雞大學仔，平時也沒有寫csdn的習慣，剛剛做完一個小型外包項目不久沒什麼事，突然心血來潮，突發大膽想法。多年來由於始終不敢相信2G+1M的阿里雲服務器的性能，一直想要自己嘗試做一個簡單的HTTP安全模塊，防止好事者通過瀏覽器或者程序使用http訪問刷我的服務器，恰逢今日有空，打算在原本的一個自己開發的二手市場springboot項目上使用剛學不久的redis進行惡意http攻擊檢測.，現在在csdn上做這光榮一刻的偉大記錄，我習慣於把代碼當做文章口述的一部分，而不會大規模複製代碼，所以springboot基礎薄弱的看着可能會有一些不適. 請見諒

---

提示：以下是本篇文章正文內容，下面案例可供參考

一、原理和思路

由於redis是基於內存的緩存服務器，性能高，穩定性也經住了市場的考驗，自定義攔截器，連接請求，使用redis來記錄每個http請求ip的近期訪問次數，w如果發現了異常情況（短時間內發送了大量請求）則可以認爲是惡意的HTTP請求攻擊.可以對該IP進行封鎖處理.並且可以記錄該IP到日誌上.

二、程序步驟

1.引入依賴和配置redis

爲了方便測試，我使用工作電腦調試和運行springboot項目，而redis服務器搭建在阿里雲上.

<!--redis 依賴-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
 
 
#redis配置
spring.redis.host = ...
spring.redis.port = ... [默認6379]
spring.redis.password = [如果你的redis服務器有密碼]

2.自定義redis的序列化器和RedisTemplate

我們需要一種<String, Integer>類型的RedisTemplate，並且要求他的value能夠靈活地在java中作爲integer 而在redis中作爲string，而不用通過我們手工轉換，同時也能保證在redis服務器上的可讀性. springboot上的redis整合api中提供了愚蠢的RedisTemplate<String, Integer> 由於Integer的序列化等問題顯然不符合我們的要求，只能定製 一個自己的RedisTemplate 和序列化器，我習慣建一個config包，在該包的類中通過bean方法創建自己的配置bean

2.1.序列化器

定義一個類 實現RedisSerializer<Integer>接口，重寫其序列化和反序列化方法

實現思路很簡單，因爲我們的目的是在redis中以string字符儲存， 在java中以integer的形式出現，在序列化時候將integer轉換爲string再進行序列化，反序列化時將序列化後的string轉換成integer即可

@Override
public byte[] serialize(@Nullable Integer integer) throws SerializationException {
    return integer== null ? null : integer.toString().getBytes(StandardCharsets.UTF_8);
}
 
 
 
@Override
public Integer deserialize(@Nullable byte[] bytes) throws SerializationException {
    return bytes == null ? null : Integer.valueOf(new String(bytes, 
        StandardCharsets.UTF_8));
}

2.2.RedisTemplate

我們可以簡單地創建一個RedisTemplate<String, Integer> 對象，對其key採用string序列化策略（注意，不要使用愚蠢的jdk默認序列化器，其序列化策略並不會原原本本地將string對象作爲字符地byte數組存儲，而且將其序列化爲一種遠古人類使用地奇怪符號） 對其value採用我們上文自定義的序列化器，所以核心的操作是

setKeySerializer(new StringRedisSerializer());

setValueSerializer(intRedisSerializer);

全部代碼如下

@Configuration
public class RedisConfig {
 
    @Autowired
    RedisSerializer<Integer> intRedisSerializer;
 
    @Bean("intRedisTemplate")
    public RedisTemplate<String, Integer> IntRedisTemplate(RedisConnectionFactory rcf){
        RedisTemplate<String, Integer> re = new RedisTemplate();
        re.setConnectionFactory(rcf);
        re.setKeySerializer(new StringRedisSerializer());
        re.setValueSerializer(intRedisSerializer);
 
        return re;
    }
}

說明：我將前面的integer序列化器命名爲intRedisSerializer，注入了該RedisTemplate中

3.偵探類實現檢測http攻擊的核心功能

聰明的你可能已經發現字體的顏色變深了，這並不是因爲我不知道怎麼改字體顏色，而是我們的核心代碼要開始了！！！

偵探（HttpDetective）這個名字花了我近10分鐘， 該接口只聲明瞭一個inspection(String ip)方法， 決定這個ip是否能訪問你的服務器， 然後我們再創建HttpDetectiveImpl來具體實現他的功能，我們使用了一種簡單可容錯的策略，忽略了異步可能導致的實際參數誤差，但是這並不會影響我們的功能和安全性. 具體代碼如下

@Component("httpDetective")
public class HttpDetectiveImpl implements HttpDetective {
 
 
    @Autowired
    private RedisTemplate<String, Integer> intRedisTemplate;
 
    /**單位均爲毫秒*/
    private final int RECORD_TIME = 1000;
    private final int ALLOW_TIMES = 6;
    private final int REFUSE_TIME = 180000;
 
 
    @Override
    public boolean inspection(String ip) {
        Integer times = intRedisTemplate.opsForValue().get(ip);
        if(times == null){
            System.out.println("有正常人進入");
            intRedisTemplate.opsForValue().set(ip, 1, RECORD_TIME, TimeUnit.MILLISECONDS);
            return true;
        }else{
            if(times >= ALLOW_TIMES){
                System.out.println("認定爲入侵行爲 攔截訪問 並且禁止目標短時間內再次訪問並且記錄 入侵者ip"+ ip);
                intRedisTemplate.opsForValue().set(ip, ALLOW_TIMES, REFUSE_TIME, TimeUnit.MILLISECONDS);
                return false;
            }else{
                System.out.println("有可疑人進入.  "+times);
                intRedisTemplate.opsForValue().increment(ip);
                return true;
            }
        }
    }
}

我們將前面的RedisTemplate注入偵探類作爲偵探類的工具，爲了方便後面的修改，我們定義了三個常量，單位都是毫秒

RECORD_TIME：  檢查http訪問的時間間隔
ALLOW_TIMES ：  檢測時間間隔內的訪問的次數
REFUSE_TIME：   對判定爲入侵者的封禁時間

我們將客戶端傳入的ip作爲redis的鍵，當客戶端首次訪問時候，會創建該鍵值對，並且設置其生存週期 也就是RECORD_TIME，我們這裏設置爲一秒，這一秒內 用戶每當再次訪問接口，對應的value就會自己加一，如果在生存週期內值加到ALLOW_TIMES時，會將其設爲入侵者，並且其在REFUSE_TIME時間內無法再訪問我們的url.即對該ip封禁的時間內都會返回false，並且若入侵者繼續嘗試訪問http接口時都會刷新封禁時間，這裏將其註冊爲名字爲httpDetective的bean

4.攔截器中掛載該偵探類，實現http攔截檢測

4.1 自定義攔截器

由於攔截器通過返回true和false來決定是否發行，這裏只需要直接注入上面的偵探類返回其inspection方法即可.

@Autowired
HttpDetective httpDetective;
 
@Bean
public HandlerInterceptor visitorRegistration(){
 
    return new HandlerInterceptor(){
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
            return httpDetective.inspection(request.getRemoteAddr());
        }
    };
}

4.3 在springboot中註冊攔截器

springboot註冊攔截器非常方便，只要繼承了WebMvcConfigurer並且在其 addInterceptors(InterceptorRegistry registry) 方法中添加改攔截器即可，注意把該類註解爲@Configuratio， 這裏不必多說

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
 
    @Resource
    HandlerInterceptor visitorRegistration;
 
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
 
        System.out.println("添加攔截器");
        // TODO Auto-generated method stub
        registry.addInterceptor(visitorRegistration)
                // 攔截路勁
                .addPathPatterns("/**");
 
    }
}

---

三、功能測試

我使用已經開發出雛形的二手商城爲例子，先開啓服務器

服務器正常啓動

打開瀏覽器，瘋狂刷http（很多人可能遠遠達不到我的手速，也可以選擇通過編寫程序刷url）

我們可以看到 在我一秒20刷的http請求中，在第六次之後的請求全部被攔截下來，並且3分鐘內無法再訪問

服務器中的redis也有對應的redis記錄

四、總結和後語

雖然用屁股想都知道肯定有相關功能而且穩定高效的框架，但是我仍然喜歡自己親自動手實現自己突然的想法或者以前的想法，代碼中可能會因爲springboot框架整體的異步結構會出現一定的偏差，但是這點並不會對其安全性有影響，而且有興趣的人也可以對HttpDetective接口做更加穩定或者高效的實現，這是我認真寫的第一張csdn 由於不怎麼熟練，花了我快三個小時的時間完成.文章中出現的錯別字請見諒，作者技術較菜，有什麼說的不對的地方或者建議請大佬們多指教