参考了一下链接的内容:
http://blog.csdn.net/cnbird2008/article/details/8723149
让 Nginx 支持 WAF 防护功能实战 (安装使用)
http://wiki.nginx.org/HttpLuaModule
https://github.com/loveshell/ngx_lua_waf
作者github地址(源码)
http://drops.wooyun.org/tips/734
通过nginx配置文件抵御攻击(原理)
一、安装
1 下载luajit 2.0并安装
http://luajit.org/download.html
直接使用源码make && make install
所以lib和include是直接放在/usr/local/lib和usr/local/include
2 下载nginx源码解压
wget http://nginx.org/download/nginx-1.2.7.tar.gz
注意版本号,如果机子上已经装了nginx,不想升级的话,请使用/to/nginx/sbin/nginx -v 来查看版本号
tar -zxvf nginx-1.2.7.tar.gz
3 下载ngx_devel_kit解压
https://github.com/simpl/ngx_devel_kit/tags
wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.18.tar.gz --no-check-certificate
tar -zxvf v0.2.18
4 下载nginx_lua_module解压
https://github.com/chaoslawful/lua-nginx-module/tags
wget https://github.com/chaoslawful/lua-nginx-module/archive/v0.7.18rc2.tar.gz --no-check-certificate
tar -zxvf v0.7.18rc2
5 进入nginx源码文件夹
cd nginx-1.2.7/
6 导入环境变量,编译
export LUAJIT_LIB=/usr/local/lib #这个很有可能不一样
export LUAJIT_INC=/usr/local/include/luajit-2.0 #这个很有可能不一样
./configure --prefix=/opt/nginx \ #nginx的安装路径
--add-module=/path/to/ngx_devel_kit \ #ngx_devel_kit 的源码路径
--add-module=/path/to/lua-nginx-module #nginx_lua_module 的源码路径
例子:
./configure --prefix=/usr/local/nginx-help --add-module=/root/jiangbin/ngx_devel_kit-0.2.18 --add-module=/root/jiangbin/lua-nginx-module-0.7.18rc2 --with-ld-opt="-Wl,-rpath,$LUAJIT_LIB"
make -j2
make install
安装lua模块发现的问题:
我在编译安装 Nginx 的第三方模块时,碰到一个错误:
[plain] view plaincopyprint?
/usr/local/nginx/sbin/ngxin -s reload
/usr/local/nginx/sbin/nginx: error while loading shared libraries: libluajit-5.1.so.2: cannot open shared object file: No such file or directory
百事不得其解,后来Google之,发现了解决办法。
在 Nginx 编译时,需要指定 RPATH,加入下面选项即可:
[plain] view plaincopyprint?
./configure --with-ld-opt="-Wl,-rpath,$LUAJIT_LIB"
或者
export LD_LIBRARY_PATH=/usr/local/lib/:$LD_LIBRARY_PATH
7 请提前新建/data/logs/hack/目录攻击日志,并赋予nginx用户对该目录的写入权限。
mkdir -p /data/logs/hack/
www账户是跑nginx和php-fpm
chown -R www:www /data/logs/hack/
chmod -R 755 /data/logs/hack/
该目录是lua日志目录,可以自定义配置路径,查看源码下config.lua文件
attacklog = "on"
logdir = "/data/logs/hack/"
8 安装ngx_lua_waf模块
git clone 'https://github.com/loveshell/ngx_lua_waf.git'
ll ngx_lua_waf/
-rw-r--r-- 1 root root 288 Apr 22 15:51 config.lua
-rw-r--r-- 1 root root 5705 Apr 22 15:51 init.lua
-rw-r--r-- 1 root root 1587 Apr 22 15:51 install.sh
-rw-r--r-- 1 root root 4547 Apr 22 15:51 README.md
drwxr-xr-x 2 root root 4096 Apr 22 15:51 wafconf
-rw-r--r-- 1 root root 1721 Apr 22 15:51 waf.lua
mv ngx_lua_waf /opt/nginx/etc/waf
在nginx中引入ngx_lua_waf模块
#lua_code_cache off; #是否开启cache,off:修改.lua文件不需要reload nginx lua_need_request_body on;
lua_package_path "/opt/nginx/etc/waf/?.lua";
lua_shared_dict limit 20m;
init_by_lua_file "/opt/nginx/etc/waf/init.lua";
access_by_lua_file /opt/nginx/etc/waf/waf.lua;
9 使用
server {
listen 80;
server_name nginxlua.com;
error_log /var/nginx/logs/debug_preview.log debug;
location = /hello.html{
default_type 'text/plain';
content_by_lua 'ngx.say("hello,nginx_lua!")';
}
}
测试一下有没有500 如果有一般就是ngx_lua_waf模块目录不对。
10 进阶
模块的逻辑关系都在waf.lua文件里面,通过调用init.lua中定义的函数实现各个不同的功能。
白名单,黑名单,cc攻击,whiteurl,useragent,url,参数,cookie,post参数过滤等。
再次我们需要根据业务来适当修改添加某些功能。添加的函数都放在init.lua文件里面,在waf.lua中应用。
--添加单纯的对于ip并发的限制
config.lua 中设置CCiprate = "10/60"
每分钟10个。可设置。
适用于:类似爬虫类的高并发cc
function denyipcc()
if CCDeny then
CCipcount=tonumber(string.match(CCiprate,'(.*)/'))
CCipseconds=tonumber(string.match(CCiprate,'/(.*)'))
local token = getClientIp()
local limit = ngx.shared.limit
local req,_=limit:get(token)
if req then
if req > CCipcount then
local rule="ip-cc-attrack"
log('GET',ngx.var.request_uri,"-",rule)
ngx.exit(503)
return true
else
limit:incr(token,1)
end
else
limit:set(token,1,CCipseconds)
end
end
return false
end
--重新改写denycc()函数
适用于:
function denycookiecc()
if CCDeny then
local ck = ngx.var.http_cookie
CCcookiecount=tonumber(string.match(CCcookierate,'(.*)/'))
CCcookieseconds=tonumber(string.match(CCcookierate,'/(.*)'))
if ck then
local token = string.match(ck,'_session_id=(.*)')
local limit = ngx.shared.limit
local req,_=limit:get(token)
if req then
if req > CCcookiecount then
local rule="cookie-cc-attrack"
log('GET',ngx.var.request_uri,"-",rule)
ngx.exit(503)
return true
else
limit:incr(token,1)
end
else
limit:set(token,1,CCcookieseconds)
end
else
denycc()
end
end
return false
end
根据是否包含cookie来处理,很多程序或者说肉鸡发起cc攻击时不包含cookie可以将这部分流量分离出来,进入更加严格的函数denycc(),设置的频率同样通过config.lua来读取。
CCrate = "10/60"
CCcookierate = "15/60"
--添加日志标记
是由哪个函数处理的,添加标志,方便以后的日志分析。
local rule="cookie-cc-attrack"
log('GET',ngx.var.request_uri,"-",rule)
更多功能。可以自己动手尝试。可以开启nginx的debug日志,方便调试,前提是编译了nginx debug module。一些lua的语法,不懂的自查下,脚本语言学起来还是不太费力的。