使用redis制作一个简单的防御模块 抵御恶意http请求攻击

2023-10-14 23:30

本文主要是介绍使用redis制作一个简单的防御模块 抵御恶意http请求攻击,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

使用redis制作一个简单的防御模块 抵御恶意http请求攻击


前言

本人是个菜鸡大学仔,平时也没有写csdn的习惯,刚刚做完一个小型外包项目不久没什么事,突然心血来潮,突发大胆想法。多年来由于始终不敢相信2G+1M的阿里云服务器的性能,一直想要自己尝试做一个简单的HTTP安全模块,防止好事者通过浏览器或者程序使用http访问刷我的服务器,恰逢今日有空,打算在原本的一个自己开发的二手市场springboot项目上使用刚学不久的redis进行恶意http攻击检测.,现在在csdn上做这光荣一刻的伟大记录,我习惯于把代码当做文章口述的一部分,而不会大规模复制代码,所以springboot基础薄弱的看着可能会有一些不适. 请见谅


提示:以下是本篇文章正文内容,下面案例可供参考

一、原理和思路

由于redis是基于内存的缓存服务器,性能高,稳定性也经住了市场的考验,自定义拦截器,连接请求,使用redis来记录每个http请求ip的近期访问次数,w如果发现了异常情况(短时间内发送了大量请求)则可以认为是恶意的HTTP请求攻击.可以对该IP进行封锁处理.并且可以记录该IP到日志上.

二、程序步骤

1.引入依赖和配置redis

为了方便测试,我使用工作电脑调试和运行springboot项目,而redis服务器搭建在阿里云上. 

<!--redis 依赖-->
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>#redis配置
spring.redis.host = ...
spring.redis.port = ... [默认6379]
spring.redis.password = [如果你的redis服务器有密码]
 

2.自定义redis的序列化器和RedisTemplate

我们需要一种<String, Integer>类型的RedisTemplate,并且要求他的value能够灵活地在java中作为integer 而在redis中作为string,而不用通过我们手工转换,同时也能保证在redis服务器上的可读性.  springboot上的redis整合api中提供了愚蠢的RedisTemplate<String, Integer> 由于Integer的序列化等问题显然不符合我们的要求,只能定制 一个自己的RedisTemplate 和序列化器,我习惯建一个config包,在该包的类中通过bean方法创建自己的配置bean

2.1.序列化器

  定义一个类 实现RedisSerializer<Integer>接口,重写其序列化和反序列化方法

实现思路很简单,因为我们的目的是在redis中以string字符储存, 在java中以integer的形式出现,在序列化时候将integer转换为string再进行序列化,反序列化时将序列化后的string转换成integer即可

@Override
public byte[] serialize(@Nullable Integer integer) throws SerializationException {return integer== null ? null : integer.toString().getBytes(StandardCharsets.UTF_8);
}@Override
public Integer deserialize(@Nullable byte[] bytes) throws SerializationException {return bytes == null ? null : Integer.valueOf(new String(bytes, StandardCharsets.UTF_8));
}

2.2.RedisTemplate

我们可以简单地创建一个RedisTemplate<String, Integer> 对象,对其key采用string序列化策略(注意,不要使用愚蠢的jdk默认序列化器,其序列化策略并不会原原本本地将string对象作为字符地byte数组存储,而且将其序列化为一种远古人类使用地奇怪符号) 对其value采用我们上文自定义的序列化器,所以核心的操作是

setKeySerializer(new StringRedisSerializer());

setValueSerializer(intRedisSerializer);

全部代码如下

@Configuration
public class RedisConfig {@AutowiredRedisSerializer<Integer> intRedisSerializer;@Bean("intRedisTemplate")public RedisTemplate<String, Integer> IntRedisTemplate(RedisConnectionFactory rcf){RedisTemplate<String, Integer> re = new RedisTemplate();re.setConnectionFactory(rcf);re.setKeySerializer(new StringRedisSerializer());re.setValueSerializer(intRedisSerializer);return re;}
}

说明:我将前面的integer序列化器命名为intRedisSerializer,注入了该RedisTemplate中

 

3.侦探类实现检测http攻击的核心功能

聪明的你可能已经发现字体的颜色变深了,这并不是因为我不知道怎么改字体颜色,而是我们的核心代码要开始了!!!

侦探(HttpDetective)这个名字花了我近10分钟, 该接口只声明了一个inspection(String ip)方法, 决定这个ip是否能访问你的服务器, 然后我们再创建HttpDetectiveImpl来具体实现他的功能,我们使用了一种简单可容错的策略,忽略了异步可能导致的实际参数误差,但是这并不会影响我们的功能和安全性. 具体代码如下

@Component("httpDetective")
public class HttpDetectiveImpl implements HttpDetective {@Autowiredprivate RedisTemplate<String, Integer> intRedisTemplate;/**单位均为毫秒*/private final int RECORD_TIME = 1000;private final int ALLOW_TIMES = 6;private final int REFUSE_TIME = 180000;@Overridepublic boolean inspection(String ip) {Integer times = intRedisTemplate.opsForValue().get(ip);if(times == null){System.out.println("有正常人进入");intRedisTemplate.opsForValue().set(ip, 1, RECORD_TIME, TimeUnit.MILLISECONDS);return true;}else{if(times >= ALLOW_TIMES){System.out.println("认定为入侵行为 拦截访问 并且禁止目标短时间内再次访问并且记录 入侵者ip"+ ip);intRedisTemplate.opsForValue().set(ip, ALLOW_TIMES, REFUSE_TIME, TimeUnit.MILLISECONDS);return false;}else{System.out.println("有可疑人进入.  "+times);intRedisTemplate.opsForValue().increment(ip);return true;}}}
}

 

我们将前面的RedisTemplate注入侦探类作为侦探类的工具,为了方便后面的修改,我们定义了三个常量,单位都是毫秒

    RECORD_TIME:  检查http访问的时间间隔
    ALLOW_TIMES :  检测时间间隔内的访问的次数
    REFUSE_TIME:   对判定为入侵者的封禁时间

我们将客户端传入的ip作为redis的键,当客户端首次访问时候,会创建该键值对,并且设置其生存周期 也就是RECORD_TIME,我们这里设置为一秒,这一秒内 用户每当再次访问接口,对应的value就会自己加一,如果在生存周期内值加到ALLOW_TIMES时,会将其设为入侵者,并且其在REFUSE_TIME时间内无法再访问我们的url.即对该ip封禁的时间内都会返回false,并且若入侵者继续尝试访问http接口时都会刷新封禁时间,这里将其注册为名字为httpDetective的bean

 

 

4.拦截器中挂载该侦探类,实现http拦截检测

4.1 自定义拦截器

由于拦截器通过返回true和false来决定是否发行,这里只需要直接注入上面的侦探类返回其inspection方法即可.

@Autowired
HttpDetective httpDetective;@Bean
public HandlerInterceptor visitorRegistration(){return new HandlerInterceptor(){@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {return httpDetective.inspection(request.getRemoteAddr());}};
}

4.3 在springboot中注册拦截器

springboot注册拦截器非常方便,只要继承了WebMvcConfigurer并且在其 addInterceptors(InterceptorRegistry registry) 方法中添加改拦截器即可,注意把该类注解为@Configuratio, 这里不必多说

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {@ResourceHandlerInterceptor visitorRegistration;@Overridepublic void addInterceptors(InterceptorRegistry registry) {System.out.println("添加拦截器");// TODO Auto-generated method stubregistry.addInterceptor(visitorRegistration)// 拦截路劲.addPathPatterns("/**");}
}

三、功能测试

我使用已经开发出雏形的二手商城为例子,先开启服务器

服务器正常启动

打开浏览器,疯狂刷http(很多人可能远远达不到我的手速,也可以选择通过编写程序刷url)

 

我们可以看到 在我一秒20刷的http请求中,在第六次之后的请求全部被拦截下来,并且3分钟内无法再访问

服务器中的redis也有对应的redis记录

四、总结和后语

虽然用屁股想都知道肯定有相关功能而且稳定高效的框架,但是我仍然喜欢自己亲自动手实现自己突然的想法或者以前的想法,代码中可能会因为springboot框架整体的异步结构会出现一定的偏差,但是这点并不会对其安全性有影响,而且有兴趣的人也可以对HttpDetective接口做更加稳定或者高效的实现,这是我认真写的第一张csdn 由于不怎么熟练,花了我快三个小时的时间完成.文章中出现的错别字请见谅,作者技术较菜,有什么说的不对的地方或者建议请大佬们多指教

这篇关于使用redis制作一个简单的防御模块 抵御恶意http请求攻击的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/213856

相关文章

Python虚拟环境终极(含PyCharm的使用教程)

《Python虚拟环境终极(含PyCharm的使用教程)》:本文主要介绍Python虚拟环境终极(含PyCharm的使用教程),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录一、为什么需要虚拟环境?二、虚拟环境创建方式对比三、命令行创建虚拟环境(venv)3.1 基础命令3

Python Transformer 库安装配置及使用方法

《PythonTransformer库安装配置及使用方法》HuggingFaceTransformers是自然语言处理(NLP)领域最流行的开源库之一,支持基于Transformer架构的预训练模... 目录python 中的 Transformer 库及使用方法一、库的概述二、安装与配置三、基础使用:Pi

关于pandas的read_csv方法使用解读

《关于pandas的read_csv方法使用解读》:本文主要介绍关于pandas的read_csv方法使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录pandas的read_csv方法解读read_csv中的参数基本参数通用解析参数空值处理相关参数时间处理相关

使用Node.js制作图片上传服务的详细教程

《使用Node.js制作图片上传服务的详细教程》在现代Web应用开发中,图片上传是一项常见且重要的功能,借助Node.js强大的生态系统,我们可以轻松搭建高效的图片上传服务,本文将深入探讨如何使用No... 目录准备工作搭建 Express 服务器配置 multer 进行图片上传处理图片上传请求完整代码示例

SpringBoot条件注解核心作用与使用场景详解

《SpringBoot条件注解核心作用与使用场景详解》SpringBoot的条件注解为开发者提供了强大的动态配置能力,理解其原理和适用场景是构建灵活、可扩展应用的关键,本文将系统梳理所有常用的条件注... 目录引言一、条件注解的核心机制二、SpringBoot内置条件注解详解1、@ConditionalOn

Python中使用正则表达式精准匹配IP地址的案例

《Python中使用正则表达式精准匹配IP地址的案例》Python的正则表达式(re模块)是完成这个任务的利器,但你知道怎么写才能准确匹配各种合法的IP地址吗,今天我们就来详细探讨这个问题,感兴趣的朋... 目录为什么需要IP正则表达式?IP地址的基本结构基础正则表达式写法精确匹配0-255的数字验证IP地

使用Python实现全能手机虚拟键盘的示例代码

《使用Python实现全能手机虚拟键盘的示例代码》在数字化办公时代,你是否遇到过这样的场景:会议室投影电脑突然键盘失灵、躺在沙发上想远程控制书房电脑、或者需要给长辈远程协助操作?今天我要分享的Pyth... 目录一、项目概述:不止于键盘的远程控制方案1.1 创新价值1.2 技术栈全景二、需求实现步骤一、需求

Spring LDAP目录服务的使用示例

《SpringLDAP目录服务的使用示例》本文主要介绍了SpringLDAP目录服务的使用示例... 目录引言一、Spring LDAP基础二、LdapTemplate详解三、LDAP对象映射四、基本LDAP操作4.1 查询操作4.2 添加操作4.3 修改操作4.4 删除操作五、认证与授权六、高级特性与最佳

Qt spdlog日志模块的使用详解

《Qtspdlog日志模块的使用详解》在Qt应用程序开发中,良好的日志系统至关重要,本文将介绍如何使用spdlog1.5.0创建满足以下要求的日志系统,感兴趣的朋友一起看看吧... 目录版本摘要例子logmanager.cpp文件main.cpp文件版本spdlog版本:1.5.0采用1.5.0版本主要

Java中使用Hutool进行AES加密解密的方法举例

《Java中使用Hutool进行AES加密解密的方法举例》AES是一种对称加密,所谓对称加密就是加密与解密使用的秘钥是一个,下面:本文主要介绍Java中使用Hutool进行AES加密解密的相关资料... 目录前言一、Hutool简介与引入1.1 Hutool简介1.2 引入Hutool二、AES加密解密基础