使用redis制作一個簡單的防御模塊 抵御惡意http請求攻擊

前言

本人是個菜雞大學仔，平時也沒有寫csdn的習慣，剛剛做完一個小型外包專案不久沒什么事，突然心血來潮，突發大膽想法，多年來由于始終不敢相信2G+1M的阿里云服務器的性能，一直想要自己嘗試做一個簡單的HTTP安全模塊，防止好事者通過瀏覽器或者程式使用http訪問刷我的服務器，恰逢今日有空，打算在原本的一個自己開發的二手市場springboot專案上使用剛學不久的redis進行惡意http攻擊檢測.，現在在csdn上做這光榮一刻的偉大記錄，我習慣于把代碼當做文章口述的一部分，而不會大規模復制代碼，所以springboot基礎薄弱的看著可能會有一些不適. 請見諒

提示：以下是本篇文章正文內容，下面案例可供參考

一、原理和思路

由于redis是基于記憶體的快取服務器，性能高，穩定性也經住了市場的考驗，自定義攔截器，連接請求，使用redis來記錄每個http請求ip的近期訪問次數，w如果發現了例外情況（短時間內發送了大量請求）則可以認為是惡意的HTTP請求攻擊.可以對該IP進行封鎖處理.并且可以記錄該IP到日志上.

二、程式步驟

1.引入依賴和配置redis

為了方便測驗，我使用作業電腦除錯和運行springboot專案，而redis服務器搭建在阿里云上.

<!--redis 依賴-->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>


#redis配置
spring.redis.host = ...
spring.redis.port = ... [默認6379]
spring.redis.password = [如果你的redis服務器有密碼]

2.自定義redis的序列化器和RedisTemplate

我們需要一種<String, Integer>型別的RedisTemplate，并且要求他的value能夠靈活地在java中作為integer 而在redis中作為string，而不用通過我們手工轉換，同時也能保證在redis服務器上的可讀性. springboot上的redis整合api中提供了愚蠢的RedisTemplate<String, Integer> 由于Integer的序列化等問題顯然不符合我們的要求，只能定制 一個自己的RedisTemplate 和序列化器，我習慣建一個config包，在該包的類中通過bean方法創建自己的配置bean

2.1.序列化器

定義一個類 實作RedisSerializer<Integer>介面，重寫其序列化和反序列化方法

實作思路很簡單，因為我們的目的是在redis中以string字符儲存， 在java中以integer的形式出現，在序列化時候將integer轉換為string再進行序列化，反序列化時將序列化后的string轉換成integer即可

@Override
public byte[] serialize(@Nullable Integer integer) throws SerializationException {
    return integer== null ? null : integer.toString().getBytes(StandardCharsets.UTF_8);
}



@Override
public Integer deserialize(@Nullable byte[] bytes) throws SerializationException {
    return bytes == null ? null : Integer.valueOf(new String(bytes, 
        StandardCharsets.UTF_8));
}

2.2.RedisTemplate

我們可以簡單地創建一個RedisTemplate<String, Integer> 物件，對其key采用string序列化策略（注意，不要使用愚蠢的jdk默認序列化器，其序列化策略并不會原原本本地將string物件作為字符地byte陣列存盤，而且將其序列化為一種遠古人類使用地奇怪符號） 對其value采用我們上文自定義的序列化器，所以核心的操作是

setKeySerializer(new StringRedisSerializer());

setValueSerializer(intRedisSerializer);

全部代碼如下

@Configuration
public class RedisConfig {

    @Autowired
    RedisSerializer<Integer> intRedisSerializer;

    @Bean("intRedisTemplate")
    public RedisTemplate<String, Integer> IntRedisTemplate(RedisConnectionFactory rcf){
        RedisTemplate<String, Integer> re = new RedisTemplate();
        re.setConnectionFactory(rcf);
        re.setKeySerializer(new StringRedisSerializer());
        re.setValueSerializer(intRedisSerializer);

        return re;
    }
}

說明：我將前面的integer序列化器命名為intRedisSerializer，注入了該RedisTemplate中

3.偵探類實作檢測http攻擊的核心功能

聰明的你可能已經發現字體的顏色變深了，這并不是因為我不知道怎么改字體顏色，而是我們的核心代碼要開始了！！！

偵探（HttpDetective）這個名字花了我近10分鐘， 該介面只宣告了一個inspection(String ip)方法， 決定這個ip是否能訪問你的服務器， 然后我們再創建HttpDetectiveImpl來具體實作他的功能，我們使用了一種簡單可容錯的策略，忽略了異步可能導致的實際引數誤差，但是這并不會影響我們的功能和安全性. 具體代碼如下

@Component("httpDetective")
public class HttpDetectiveImpl implements HttpDetective {


    @Autowired
    private RedisTemplate<String, Integer> intRedisTemplate;

    /**單位均為毫秒*/
    private final int RECORD_TIME = 1000;
    private final int ALLOW_TIMES = 6;
    private final int REFUSE_TIME = 180000;


    @Override
    public boolean inspection(String ip) {
        Integer times = intRedisTemplate.opsForValue().get(ip);
        if(times == null){
            System.out.println("有正常人進入");
            intRedisTemplate.opsForValue().set(ip, 1, RECORD_TIME, TimeUnit.MILLISECONDS);
            return true;
        }else{
            if(times >= ALLOW_TIMES){
                System.out.println("認定為入侵行為 攔截訪問 并且禁止目標短時間內再次訪問并且記錄 入侵者ip"+ ip);
                intRedisTemplate.opsForValue().set(ip, ALLOW_TIMES, REFUSE_TIME, TimeUnit.MILLISECONDS);
                return false;
            }else{
                System.out.println("有可疑人進入.  "+times);
                intRedisTemplate.opsForValue().increment(ip);
                return true;
            }
        }
    }
}

我們將前面的RedisTemplate注入偵探類作為偵探類的工具，為了方便后面的修改，我們定義了三個常量，單位都是毫秒

RECORD_TIME： 檢查http訪問的時間間隔
ALLOW_TIMES ： 檢測時間間隔內的訪問的次數
REFUSE_TIME： 對判定為入侵者的封禁時間

我們將客戶端傳入的ip作為redis的鍵，當客戶端首次訪問時候，會創建該鍵值對，并且設定其生存周期 也就是RECORD_TIME，我們這里設定為一秒，這一秒內 用戶每當再次訪問介面，對應的value就會自己加一，如果在生存周期內值加到ALLOW_TIMES時，會將其設為入侵者，并且其在REFUSE_TIME時間內無法再訪問我們的url.即對該ip封禁的時間內都會回傳false，并且若入侵者繼續嘗試訪問http介面時都會重繪封禁時間，這里將其注冊為名字為httpDetective的bean

4.攔截器中掛載該偵探類，實作http攔截檢測

4.1 自定義攔截器

由于攔截器通過回傳true和false來決定是否發行，這里只需要直接注入上面的偵探類回傳其inspection方法即可.

@Autowired
HttpDetective httpDetective;

@Bean
public HandlerInterceptor visitorRegistration(){

    return new HandlerInterceptor(){
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
            return httpDetective.inspection(request.getRemoteAddr());
        }
    };
}

4.3 在springboot中注冊攔截器

springboot注冊攔截器非常方便，只要繼承了WebMvcConfigurer并且在其 addInterceptors(InterceptorRegistry registry) 方法中添加改攔截器即可，注意把該類注解為@Configuratio， 這里不必多說

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Resource
    HandlerInterceptor visitorRegistration;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        System.out.println("添加攔截器");
        // TODO Auto-generated method stub
        registry.addInterceptor(visitorRegistration)
                // 攔截路勁
                .addPathPatterns("/**");

    }
}

三、功能測驗

我使用已經開發出雛形的二手商城為例子，先開啟服務器

服務器正常啟動

打開瀏覽器，瘋狂刷http（很多人可能遠遠達不到我的手速，也可以選擇通過撰寫程式刷url）

我們可以看到 在我一秒20刷的http請求中，在第六次之后的請求全部被攔截下來，并且3分鐘內無法再訪問

服務器中的redis也有對應的redis記錄

四、總結和后語

雖然用屁股想都知道肯定有相關功能而且穩定高效的框架，但是我仍然喜歡自己親自動手實作自己突然的想法或者以前的想法，代碼中可能會因為springboot框架整體的異步結構會出現一定的偏差，但是這點并不會對其安全性有影響，而且有興趣的人也可以對HttpDetective介面做更加穩定或者高效的實作，這是我認真寫的第一張csdn 由于不怎么熟練，花了我快三個小時的時間完成.文章中出現的錯別字請見諒，作者技術較菜，有什么說的不對的地方或者建議請大佬們多指教