使用redis製作一個簡單的防禦模塊 抵禦惡意http請求攻擊
前言
本人是個菜雞大學仔,平時也沒有寫csdn的習慣,剛剛做完一個小型外包項目不久沒什麼事,突然心血來潮,突發大膽想法。多年來由於始終不敢相信2G+1M的阿里雲服務器的性能,一直想要自己嘗試做一個簡單的HTTP安全模塊,防止好事者通過瀏覽器或者程序使用http訪問刷我的服務器,恰逢今日有空,打算在原本的一個自己開發的二手市場springboot項目上使用剛學不久的redis進行惡意http攻擊檢測.,現在在csdn上做這光榮一刻的偉大記錄,我習慣於把代碼當做文章口述的一部分,而不會大規模複製代碼,所以springboot基礎薄弱的看着可能會有一些不適. 請見諒
提示:以下是本篇文章正文內容,下面案例可供參考
一、原理和思路
由於redis是基於內存的緩存服務器,性能高,穩定性也經住了市場的考驗,自定義攔截器,連接請求,使用redis來記錄每個http請求ip的近期訪問次數,w如果發現了異常情況(短時間內發送了大量請求)則可以認爲是惡意的HTTP請求攻擊.可以對該IP進行封鎖處理.並且可以記錄該IP到日誌上.
二、程序步驟
1.引入依賴和配置redis
爲了方便測試,我使用工作電腦調試和運行springboot項目,而redis服務器搭建在阿里雲上.
<!--redis 依賴-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
#redis配置
spring.redis.host = ...
spring.redis.port = ... [默認6379]
spring.redis.password = [如果你的redis服務器有密碼]
2.自定義redis的序列化器和RedisTemplate
我們需要一種<String, Integer>類型的RedisTemplate,並且要求他的value能夠靈活地在java中作爲integer 而在redis中作爲string,而不用通過我們手工轉換,同時也能保證在redis服務器上的可讀性. springboot上的redis整合api中提供了愚蠢的RedisTemplate<String, Integer> 由於Integer的序列化等問題顯然不符合我們的要求,只能定製 一個自己的RedisTemplate 和序列化器,我習慣建一個config包,在該包的類中通過bean方法創建自己的配置bean
2.1.序列化器
定義一個類 實現RedisSerializer<Integer>接口,重寫其序列化和反序列化方法
實現思路很簡單,因爲我們的目的是在redis中以string字符儲存, 在java中以integer的形式出現,在序列化時候將integer轉換爲string再進行序列化,反序列化時將序列化後的string轉換成integer即可
@Override
public byte[] serialize(@Nullable Integer integer) throws SerializationException {
return integer== null ? null : integer.toString().getBytes(StandardCharsets.UTF_8);
}
@Override
public Integer deserialize(@Nullable byte[] bytes) throws SerializationException {
return bytes == null ? null : Integer.valueOf(new String(bytes,
StandardCharsets.UTF_8));
}
2.2.RedisTemplate
我們可以簡單地創建一個RedisTemplate<String, Integer> 對象,對其key採用string序列化策略(注意,不要使用愚蠢的jdk默認序列化器,其序列化策略並不會原原本本地將string對象作爲字符地byte數組存儲,而且將其序列化爲一種遠古人類使用地奇怪符號) 對其value採用我們上文自定義的序列化器,所以核心的操作是
setKeySerializer(new StringRedisSerializer());
setValueSerializer(intRedisSerializer);
全部代碼如下
@Configuration
public class RedisConfig {
@Autowired
RedisSerializer<Integer> intRedisSerializer;
@Bean("intRedisTemplate")
public RedisTemplate<String, Integer> IntRedisTemplate(RedisConnectionFactory rcf){
RedisTemplate<String, Integer> re = new RedisTemplate();
re.setConnectionFactory(rcf);
re.setKeySerializer(new StringRedisSerializer());
re.setValueSerializer(intRedisSerializer);
return re;
}
}
說明:我將前面的integer序列化器命名爲intRedisSerializer,注入了該RedisTemplate中
3.偵探類實現檢測http攻擊的核心功能
聰明的你可能已經發現字體的顏色變深了,這並不是因爲我不知道怎麼改字體顏色,而是我們的核心代碼要開始了!!!
偵探(HttpDetective)這個名字花了我近10分鐘, 該接口只聲明瞭一個inspection(String ip)方法, 決定這個ip是否能訪問你的服務器, 然後我們再創建HttpDetectiveImpl來具體實現他的功能,我們使用了一種簡單可容錯的策略,忽略了異步可能導致的實際參數誤差,但是這並不會影響我們的功能和安全性. 具體代碼如下
@Component("httpDetective")
public class HttpDetectiveImpl implements HttpDetective {
@Autowired
private RedisTemplate<String, Integer> intRedisTemplate;
/**單位均爲毫秒*/
private final int RECORD_TIME = 1000;
private final int ALLOW_TIMES = 6;
private final int REFUSE_TIME = 180000;
@Override
public boolean inspection(String ip) {
Integer times = intRedisTemplate.opsForValue().get(ip);
if(times == null){
System.out.println("有正常人進入");
intRedisTemplate.opsForValue().set(ip, 1, RECORD_TIME, TimeUnit.MILLISECONDS);
return true;
}else{
if(times >= ALLOW_TIMES){
System.out.println("認定爲入侵行爲 攔截訪問 並且禁止目標短時間內再次訪問並且記錄 入侵者ip"+ ip);
intRedisTemplate.opsForValue().set(ip, ALLOW_TIMES, REFUSE_TIME, TimeUnit.MILLISECONDS);
return false;
}else{
System.out.println("有可疑人進入. "+times);
intRedisTemplate.opsForValue().increment(ip);
return true;
}
}
}
}
我們將前面的RedisTemplate注入偵探類作爲偵探類的工具,爲了方便後面的修改,我們定義了三個常量,單位都是毫秒
RECORD_TIME: 檢查http訪問的時間間隔
ALLOW_TIMES : 檢測時間間隔內的訪問的次數
REFUSE_TIME: 對判定爲入侵者的封禁時間
我們將客戶端傳入的ip作爲redis的鍵,當客戶端首次訪問時候,會創建該鍵值對,並且設置其生存週期 也就是RECORD_TIME,我們這裏設置爲一秒,這一秒內 用戶每當再次訪問接口,對應的value就會自己加一,如果在生存週期內值加到ALLOW_TIMES時,會將其設爲入侵者,並且其在REFUSE_TIME時間內無法再訪問我們的url.即對該ip封禁的時間內都會返回false,並且若入侵者繼續嘗試訪問http接口時都會刷新封禁時間,這裏將其註冊爲名字爲httpDetective的bean
4.攔截器中掛載該偵探類,實現http攔截檢測
4.1 自定義攔截器
由於攔截器通過返回true和false來決定是否發行,這裏只需要直接注入上面的偵探類返回其inspection方法即可.
@Autowired
HttpDetective httpDetective;
@Bean
public HandlerInterceptor visitorRegistration(){
return new HandlerInterceptor(){
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
return httpDetective.inspection(request.getRemoteAddr());
}
};
}
4.3 在springboot中註冊攔截器
springboot註冊攔截器非常方便,只要繼承了WebMvcConfigurer並且在其 addInterceptors(InterceptorRegistry registry) 方法中添加改攔截器即可,注意把該類註解爲@Configuratio, 這裏不必多說
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Resource
HandlerInterceptor visitorRegistration;
@Override
public void addInterceptors(InterceptorRegistry registry) {
System.out.println("添加攔截器");
// TODO Auto-generated method stub
registry.addInterceptor(visitorRegistration)
// 攔截路勁
.addPathPatterns("/**");
}
}
三、功能測試
我使用已經開發出雛形的二手商城爲例子,先開啓服務器
服務器正常啓動
打開瀏覽器,瘋狂刷http(很多人可能遠遠達不到我的手速,也可以選擇通過編寫程序刷url)
我們可以看到 在我一秒20刷的http請求中,在第六次之後的請求全部被攔截下來,並且3分鐘內無法再訪問
服務器中的redis也有對應的redis記錄
四、總結和後語
雖然用屁股想都知道肯定有相關功能而且穩定高效的框架,但是我仍然喜歡自己親自動手實現自己突然的想法或者以前的想法,代碼中可能會因爲springboot框架整體的異步結構會出現一定的偏差,但是這點並不會對其安全性有影響,而且有興趣的人也可以對HttpDetective接口做更加穩定或者高效的實現,這是我認真寫的第一張csdn 由於不怎麼熟練,花了我快三個小時的時間完成.文章中出現的錯別字請見諒,作者技術較菜,有什麼說的不對的地方或者建議請大佬們多指教