高性能Web应用服务器Nginx功能之自动化封禁ip

简介

在日常业务场景中可能存在恶意用户频繁访问系统，占用系统资源，影响正常用户访问，我们有许多方案杜绝此类问题发生，例如增加验证码，应用内限制访问次数，网关ip封禁等等。本次介绍如何利用Nginx和shell脚本自动化封禁访问ip。

Nginx封禁ip或ip段

封禁ip/ip段语法

1 2	deny 1.2.3.4; deny 91.212.45.0/24;

允许ip/ip段语法

1 2	allow 1.2.3.4; allow 91.212.45.0/24;

新建/usr/local/nginx/conf/vhosts/blockip.conf，将封禁ip/ip段的语句放入到blockip.conf

根据放入的语句块实现封禁ip的范围：

include vhosts/blockip.conf放在server语句块，则单独封禁某个网站
include vhosts/blockip.conf放在http语句块，则封禁所有网站

记得在nginx.conf导入blockip.conf：

禁用ip配置

shell脚本自动化封禁ip

awk

AWK 是一种处理文本文件的语言，是一个强大的文本分析工具。后面会详细介绍。

自动化封禁ip的思路：

1、统计访问日志的ip并去重排序

2、计算超过特定访问速率（每分钟60次）的ip

3、将ip记录在vhosts/blockip.conf并灰度发布

4、crontab定时运行脚本

1	awk '{print $1}' /usr/local/nginx/logs/access.log

统计access.log

1	awk '{print $1}' /usr/local/nginx/logs/access.log \| sort \| uniq -cd

去重和排序

1	awk '{print $1}' /usr/local/nginx/logs/access.log \| sort \| uniq -cd \| awk '{if($1>)print $0}'

计算超过特定访问速率（每分钟60次）的ip

编写shell脚本

#不能把别人IP一直封着吧，这里就清除掉了
echo "" > /usr/local/nginx/conf/vhosts/blockip.conf

#前面最开始编写的统计数据功能
ip_list=$(awk '{print $1}' /usr/local/nginx/logs/access.log | sort | uniq -cd | awk '{if($1>60)print $0}')

#获取当前时间
starttime=$(date +%Y-%m-%d\ %H:%M:%S)

#判断这个变量是否为空
if test -z "$ip_list"
then
        #为空写入 blockip.log中，并重新启动ngnix
        echo "$starttime 暂无封禁ip"  >> /usr/local/nginx/logs/blockip.log
		
        /usr/bin/nginx -s reload
else
        #如果不为空 前面加上 deny格式和ip写入blockip.conf中
        echo "deny" $ip_list > /usr/local/nginx/conf/vhosts/blockip.conf

        #因为前面携带了行数，所有我们需要去除掉前面的行数，写入后在读取一次
        ip_list2=$(awk '{print $3}' /usr/local/nginx/conf/vhosts/blockip.conf)

        #最后再把读取出来的值，在次写入到blockip.conf中
        echo "deny" $ip_list2";"> /usr/local/nginx/conf/vhosts/blockip.conf

        #重启ngnix
        /usr/bin/nginx -s reload
        #清空之前的日志，从最新的开始截取
        echo "" > /usr/local/nginx/logs/access.log
		
		# 记录封禁ip
		echo "$starttime 封禁ip $ip_list2"  >> /usr/local/nginx/logs/blockip.log
fi