OpenResty实现CC攻击防护方案

CC攻击(Challenge Collapsar)是一种针对应用层的DDoS攻击，OpenResty基于Nginx和Lua的高性能特性非常适合构建防护方案。以下是完整的实现方案：

1. 基础频率限制

IP访问频率控制

-- nginx.conf http部分添加共享内存区
lua_shared_dict ip_limit 10m;
-- Lua脚本实现
local limit_count = require "resty.limit.count"
local function anti_cc()
    local lim, err = limit_count.new("ip_limit", 100, 60) -- 60秒内最多100次请求
    if not lim then
        ngx.log(ngx.ERR, "failed to instantiate a resty.limit.count object: ", err)
        return ngx.exit(500)
    end
    
    local key = ngx.var.binary_remote_addr -- 客户端IP作为key
    local delay, err = lim:incoming(key, true)
    
    if not delay then
        if err == "rejected" then
            return ngx.exit(503)
        end
        ngx.log(ngx.ERR, "failed to limit count: ", err)
        return ngx.exit(500)
    end
    
    -- 请求通过
end

2. 增强型防护策略

滑动窗口限流（更精确的控制）

local limit_req = require "resty.limit.req"
local rate = 10 -- 每秒10个请求
local burst = 20 -- 允许突发20个请求
local lim, err = limit_req.new("ip_limit", rate, burst)
if not lim then
    ngx.log(ngx.ERR, "failed to instantiate a resty.limit.req object: ", err)
    return ngx.exit(500)
end
local key = ngx.var.binary_remote_addr..":"..ngx.var.host -- IP+host组合键
local delay, err = lim:incoming(key, true)
if delay and delay > 0 then -- need to delay request
    if delay > 0.5 then -- requests too frequent 
        return ngx.exit(503) 
    end 
    ngx.sleep(delay) 
end

##3.JS挑战验证（防自动化工具）

-- nginx配置返回JS挑战页面 
location /challenge { 
   content_by_lua_block { 
       local token=ngx.md5(math.random()..ngx.now()) 
       local expires=ngx.time()+300 --5分钟有效
        
       local js=[[<script>function submitToken(){...}</script>]] 
       ngx.header["Set-Cookie"]="__challenge_token="..token.."; Path=/; Max-Age=300" 
       redis:hset("challenge:"..token,"expires",expires) 
       ngx.say([[<html><body onload="setTimeout(submitToken,2000)">...</body></html>]]) 
   } 
} 
--验证中间件： 
if redis:hget("challenge:"..cookie_token,"passed")~="1"then 
   return ngx.redirect("/challenge?url="..ngx.encode_args({next=request_uri})) 
end

##4.行为分析防护层

--收集用户行为特征： 
local user_behavior={ 
   ua=ngx.var.http_user_agent,
   accept=ngx.var.http_accept,
   lang=ngk.xvar.http_accept_language,
   req_rate=(redis:get("rate:"..ip)or0)+1,
   mouse_move=false,--通过前端JS埋点设置
}
--机器学习模型判断(PMML或ONNX运行时): 
if ml_model:predict(user_behavior)>THRESHOLD then
   add_to_blocklist(ip)
end 
function add_to_blocklist(ip)
   redis:sadd("blocked_ips",ip)
   redis:expire("blocked_ips",3600)--封禁1小时
end
access_by_lua_block{
   if redis:sismember("blocked_ips",ngk.xvar.binary_remote_addr)==1then
      return ngn.xexit(403)
   end
}

##5.WAF规则集成（可选）


http{
 lua_package_path"/path/to/lua-resty-waf/?.lua;;";
 init_by_lua_block{
     waf=require"resty.waf"
     config={rules_file="/path/to/rules.json"},
 }
 server{
     access_by_luablock{
         local res={}
         waf.exec(config,nilres)
         if res.action=="DENY"then
             return ngn.xexit(res.status or403)
         end
     }
 }
}