【Nginx】使用 Nginx+Lua 实现基于 IP 的访问频率限制

哈哈哈哈哈哈哈哈哈...........2025-06-06 11:19

使用 Nginx+Lua 实现基于 IP 的访问频率限制

在高并发场景下,限制某个 IP 的访问频率是非常重要的,可以有效防止恶意攻击或错误配置导致的服务宕机。以下是一个详细的实现方案,使用 Nginx 和 Lua 脚本结合 Redis 来实现基于 IP 的访问频率限制。

1.环境准备

在开始之前,请确保已安装以下组件:

• Nginx:作为反向代理服务器。

• Lua 模块:需要在 Nginx 中编译或安装ngx_http_lua_module

• Redis:作为数据存储,用于记录访问频率。

2.方案概述

我们将通过 Lua 脚本和 Redis 实现以下功能:

• 记录每个 IP 的访问频率。

• 设置阈值,当某个 IP 的访问次数超过此阈值时,将其加入黑名单。

• 每次请求时检查该 IP 是否在黑名单中。

3.Redis 数据结构

在 Redis 中,我们可以使用以下数据结构:

• 访问计数存储:ip:<client_ip>,值为该 IP 的请求次数。

• 黑名单存储:blocked_ip:<client_ip>,值为 1(表示被封禁)。

4.Lua 脚本示例

以下是一个完整的 Lua 脚本示例,用于实现访问频率限制和封禁逻辑:

lua 复制代码 
local redis = require "resty.redis"
local red = redis:new()
red:set_timeout(1000)  -- 1秒超时

-- 获取客户端 IP
local client_ip = ngx.var.remote_addr
local max_requests = 100  -- 设置最大请求次数
local expire_time = 60    -- 设置过期时间为60秒
local block_time = 300    -- 设置封禁时间为300秒

-- 连接 Redis
local ok, err = red:connect("127.0.0.1", 6379)
if not ok then
    ngx.say("failed to connect to Redis: ", err)
    return
end

-- 检查是否被封禁
local blocked_res, err = red:get("blocked_ip:" .. client_ip)
if blocked_res == "1" then
    ngx.exit(ngx.HTTP_FORBIDDEN)  -- 如果被封禁,返回403
end

-- 记录访问次数
local count, err = red:incr("ip:" .. client_ip)
if not count then
    ngx.say("failed to increment IP counter: ", err)
    return
end

-- 设置过期时间
if count == 1 then
    red:expire("ip:" .. client_ip, expire_time)
end

-- 检查访问次数是否超过阈值
if count > max_requests then
    red:set("blocked_ip:" .. client_ip, 1)
    red:expire("blocked_ip:" .. client_ip, block_time)  -- 封禁300秒
    ngx.exit(ngx.HTTP_FORBIDDEN)  -- 返回403
end

-- 关闭 Redis 连接
red:close()

5.Nginx 配置

接下来,我们需要在 Nginx 配置文件中使用此 Lua 脚本。

nginx 复制代码 
http {
    lua_shared_dict limit_dict 10m;  # 定义共享内存字典

    server {
        listen 80;
        server_name example.com;

        location / {
            access_by_lua_block {
                -- 在此使用上述的 Lua 脚本
                local script = [[
                    local redis = require "resty.redis"
                    local red = redis:new()
                    red:set_timeout(1000)  -- 1秒超时

                    -- 获取客户端 IP
                    local client_ip = ngx.var.remote_addr
                    local max_requests = 100  -- 设置最大请求次数
                    local expire_time = 60    -- 设置过期时间为60秒
                    local block_time = 300    -- 设置封禁时间为300秒

                    -- 连接 Redis
                    local ok, err = red:connect("127.0.0.1", 6379)
                    if not ok then
                        ngx.say("failed to connect to Redis: ", err)
                        return
                    end

                    -- 检查是否被封禁
                    local blocked_res, err = red:get("blocked_ip:" .. client_ip)
                    if blocked_res == "1" then
                        ngx.exit(ngx.HTTP_FORBIDDEN)  -- 如果被封禁,返回403
                    end

                    -- 记录访问次数
                    local count, err = red:incr("ip:" .. client_ip)
                    if not count then
                        ngx.say("failed to increment IP counter: ", err)
                        return
                    end

                    -- 设置过期时间
                    if count == 1 then
                        red:expire("ip:" .. client_ip, expire_time)
                    end

                    -- 检查访问次数是否超过阈值
                    if count > max_requests then
                        red:set("blocked_ip:" .. client_ip, 1)
                        red:expire("blocked_ip:" .. client_ip, block_time)  -- 封禁300秒
                        ngx.exit(ngx.HTTP_FORBIDDEN)  -- 返回403
                    end

                    -- 关闭 Redis 连接
                    red:close()
                ]]
                ngx.execute_lua(script)
            }
            proxy_pass http://backend;
        }
    }
}

6.测试

• 启动 Redis:

bash 复制代码 
   redis-server

• 启动 Nginx:

bash 复制代码 
   nginx -s reload

• 访问测试:

• 使用浏览器或工具(如curl)访问你的 Nginx 服务。

• 在 60 秒内多次访问,观察是否触发封禁逻辑。

7.注意事项

• 连接池:

• 在生产环境中,建议使用连接池来管理 Redis 连接,避免频繁建立和关闭连接。

• 错误处理:

• 在 Lua 脚本中,确保对 Redis 连接失败等错误进行适当的处理,避免影响正常服务。

• 性能优化:

• 根据实际需求调整max_requestsexpire_timeblock_time等参数,以达到最佳性能。

总结

通过结合 Nginx、Lua 和 Redis,我们实现了一个简单而有效的基于 IP 的访问频率限制机制。这种方案不仅提高了服务器的安全性,还能有效防止恶意攻击。在实际应用中,你可以根据具体的场景和需求调整访问频率的限制和封禁策略。希望这些方法和示例对你有所帮助!

相关推荐
William一直在路上2 小时前
深度解析:Nginx的卓越性能
运维·nginx
小十十5 小时前
K8s+Nginx-ingress+Websocket基础知识理解
websocket·nginx·kubernetes
hzsnone6 小时前
公网服务器上Nginx或者Openresty如何屏蔽IP直接扫描
服务器·nginx·openresty
超人也会哭️呀8 小时前
Redis(四):Redis的脚本语言Lua及限流策略
redis·缓存·lua
PanYu——BJ18 小时前
CentOS Nginx 1.13.9 部署文档
linux·nginx·centos
猫头虎19 小时前
新手小白如何快速检测IP 的好坏?
网络·人工智能·网络协议·tcp/ip·开源·github·php
MX_93591 天前
使用Nginx部署前端项目
运维·前端·nginx
srrsheng1 天前
电商前端Nginx访问日志收集分析实战
运维·前端·nginx
胡西风_foxww1 天前
Vue2 项目实现 Gzip 压缩全攻略:从配置到部署避坑指南
nginx·部署·vue2·配置·gzip·压缩·攻略
dog2501 天前
TCP RTO 与丢包检测
网络·网络协议·tcp/ip
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02全球最强模型Grok4,国内已可免费使用!(附教程)03VMware Workstation Pro虚拟机的下载和安装图文保姆级教程(附下载链接)04KGG转MP3工具|非KGM文件|解密音频05UV安装并设置国内源06MSPM0G3507——读取引脚的高低电平方法(数字信号循迹模块)07腾讯还是太全面了,限时免费!超全CodeBuddy IDE保姆级教程!(附案例)08Coze 开源了,送上保姆级私有化部署方案【建议收藏】092025电赛e题:openmv识别过程丢失矩形10扣子开源本地部署教程 丨Coze智能体小白喂饭级指南