การตรวจจับ Slashdot effect ใน nginx

มีวิธีที่ฉันสามารถกำหนดให้ Nginx แจ้งเตือนฉันได้หรือไม่หากการเข้าชมจากผู้อ้างอิงเกินเกณฑ์หรือไม่

เช่นถ้าเว็บไซต์ของฉันให้ความสำคัญกับ Slashdot และในทันใดฉันก็มีเพลงฮิต 2K มาในอีกหนึ่งชั่วโมงฉันอยากได้รับการแจ้งเตือนเมื่อไปเกิน 1K ต่อชั่วโมง

เป็นไปได้ไหมที่จะทำสิ่งนี้ใน Nginx? อาจเป็นไปได้โดยไม่ต้อง lua? (เนื่องจากผลิตภัณฑ์ของฉันไม่ได้รวบรวม lua)

วิธีการแก้ปัญหามีประสิทธิภาพมากที่สุดอาจจะมีการเขียนภูตที่จะและติดตามข้อมูลtail -faccess.log$http_referer

อย่างไรก็ตามวิธีแก้ปัญหาที่รวดเร็วและสกปรกก็คือการเพิ่มaccess_logไฟล์พิเศษเพื่อบันทึกเฉพาะ$http_refererตัวแปรที่มีการกำหนดเองlog_formatและเพื่อหมุนบันทึกโดยอัตโนมัติทุก ๆ X นาที

• สิ่งนี้สามารถทำได้ด้วยความช่วยเหลือของสคริปต์ logrotate มาตรฐานซึ่งอาจจำเป็นต้องทำการรีสตาร์ทอย่างสง่างามของ nginx เพื่อให้สามารถเปิดไฟล์ได้อีกครั้ง (เช่นขั้นตอนมาตรฐานลองดูที่/ a / 15183322 บน SOเพื่อหาเวลาง่ายๆ สคริปต์ตาม) ...

• หรือโดยการใช้ตัวแปรภายในaccess_logอาจเป็นไปได้โดยการกำหนดคุณลักษณะนาทีโดย$time_iso8601ใช้ความช่วยเหลือของmapหรือifคำสั่ง (ขึ้นอยู่กับตำแหน่งที่คุณต้องการวางaccess_log)

ดังนั้นจากข้างต้นคุณอาจมีไฟล์บันทึก 6 ไฟล์โดยแต่ละไฟล์ครอบคลุมระยะเวลา 10 นาทีhttp_referer.Txx{0,1,2,3,4,5}x.logเช่นโดยรับตัวเลขตัวแรกของนาทีเพื่อแยกความแตกต่างของแต่ละไฟล์

ตอนนี้สิ่งที่คุณต้องทำก็คือมีสคริปต์เชลล์แบบง่าย ๆ ที่สามารถเรียกใช้ทุก ๆ 10 นาทีcatไฟล์ข้างต้นทั้งหมดเข้าด้วยกันไปป์มันไปที่sortไพพ์ไปuniq -cยังsort -rnถึงhead -16และคุณมีรายการของRefererรูปแบบที่พบมากที่สุด 16 แบบ - ฟรีในการตัดสินใจว่าการรวมกันของตัวเลขและเขตข้อมูลใด ๆ เกินกว่าเกณฑ์ของคุณและทำการแจ้งเตือน

ต่อจากนั้นหลังจากการแจ้งเตือนที่ประสบความสำเร็จเพียงครั้งเดียวคุณสามารถลบไฟล์ทั้ง 6 ไฟล์เหล่านี้และในการรันครั้งต่อไปไม่ออกการแจ้งเตือนใด ๆ เว้นแต่ไฟล์ทั้งหกนี้จะปรากฏ (และ / หรือหมายเลขอื่นตามที่คุณเห็นสมควร)

ฉันคิดว่าสิ่งนี้จะทำได้ดีกว่าด้วย logtail และ grep แม้ว่าจะเป็นไปได้ที่จะทำกับ lua inline คุณไม่ต้องการค่าใช้จ่ายนั้นสำหรับทุกคำขอและโดยเฉพาะอย่างยิ่งคุณไม่ต้องการเมื่อคุณได้รับ Slashdotted

นี่คือรุ่น 5 วินาที ติดไว้ในสคริปต์และวางข้อความที่อ่านได้รอบข้างและคุณเป็นสีทอง

5 * * * * logtail -f /var/log/nginx/access_log -o /tmp/nginx-logtail.offset | grep -c "http://[^ ]slashdot.org"

แน่นอนว่าไม่สนใจ reddit.com และ facebook.com และไซต์อื่น ๆ ทั้งหมดล้านไซต์ที่สามารถส่งการเข้าชมจำนวนมากให้กับคุณ ไม่ต้องพูดถึง 100 เว็บไซต์ที่แตกต่างกันซึ่งส่งผู้เข้าชม 20 คน คุณอาจจะเพียงแค่มีธรรมดาเก่าจราจรเกณฑ์ที่เป็นสาเหตุของอีเมลไปที่ถูกส่งถึงคุณโดยไม่คำนึงถึงอ้างอิง

คำสั่งnginx limit_req_zoneสามารถยึดโซนโซนไว้กับตัวแปรใด ๆ รวมถึง $ http_referrer

http {
    limit_req_zone  $http_referrer  zone=one:10m   rate=1r/s;

    ...

    server {

        ...

        location /search/ {
            limit_req   zone=one  burst=5;
        }

คุณจะต้องทำบางสิ่งบางอย่างเพื่อ จำกัด จำนวนสถานะที่ต้องการบนเว็บเซิร์ฟเวอร์ด้วยเนื่องจากส่วนหัวของผู้อ้างอิงอาจมีความยาวและหลากหลายและคุณอาจเห็นตัวแปร infinte คุณสามารถใช้คุณสมบัติ nginx split_clientsเพื่อตั้งค่าตัวแปรสำหรับคำขอทั้งหมดที่ยึดตามแฮชของส่วนหัวผู้อ้างอิง ตัวอย่างด้านล่างใช้เพียง 10 buckes แต่คุณสามารถทำได้ด้วย 1,000 เพียงอย่างง่ายดาย ดังนั้นหากคุณได้รับ slashdotted ผู้ที่มีผู้อ้างอิงเกิดการแฮชเข้าไปในที่เก็บข้อมูลเดียวกันกับ URL ของ slashdot ก็จะถูกบล็อกด้วยเช่นกัน แต่คุณสามารถ จำกัด ได้เพียง 0.1% ของผู้เข้าชมโดยใช้ถัง 1000 ถัง

มันจะมีลักษณะเช่นนี้ (ยังไม่ทดลองทั้งหมด แต่ถูกต้องตามทิศทาง):

http {

split_clients $http_referrer $refhash {
               10%               x01;
               10%               x02;
               10%               x03;
               10%               x04;
               10%               x05;
               10%               x06;
               10%               x07;
               10%               x08;
               10%               x09;
               *                 x10;
               }

limit_req_zone  $refhash  zone=one:10m   rate=1r/s;

...

server {

    ...

    location /search/ {
        limit_req   zone=one  burst=5;
    }

ใช่แน่นอนมันเป็นไปได้ใน NGINX!

สิ่งที่คุณสามารถทำได้คือใช้DFAต่อไปนี้:

1. ใช้การ จำกัด อัตราการใช้$http_refererอาจขึ้นกับการใช้ regex ผ่าน a mapเพื่อทำให้ค่าปกติ เมื่อเกินขีด จำกัด หน้าข้อผิดพลาดภายในจะเพิ่มขึ้นซึ่งคุณสามารถติดต่อผ่านerror_pageตัวจัดการตามคำถามที่เกี่ยวข้องไปยังตำแหน่งภายในใหม่เป็นการเปลี่ยนเส้นทางภายใน (มองไม่เห็นไคลเอนต์)

2. ในตำแหน่งด้านบนสำหรับข้อ จำกัด ที่เกินคุณดำเนินการตามคำขอการแจ้งเตือนโดยให้ตรรกะภายนอกทำการแจ้งเตือน คำขอนี้ถูกแคชในภายหลังเพื่อให้แน่ใจว่าคุณจะได้รับคำขอที่ไม่ซ้ำกัน 1 รายการต่อหน้าต่างเวลาที่ระบุ

3. รับรหัสสถานะ HTTP ของคำขอก่อนหน้านี้ (โดยส่งคืนรหัสสถานะ≥ 300 และใช้proxy_intercept_errors onหรืออีกวิธีหนึ่งคือใช้แบบไม่ได้สร้างขึ้นโดยค่าเริ่มต้นauth_requestหรือadd_after_bodyสร้างคำขอย่อย "ฟรี") และทำตามคำขอเดิมให้สมบูรณ์ ขั้นตอนก่อนหน้าไม่เกี่ยวข้อง โปรดทราบว่าเราต้องเปิดใช้error_pageงานการจัดการแบบเรียกซ้ำเพื่อให้ทำงานได้

นี่คือ PoC และ MVP ของฉันที่https://github.com/cnst/StackOverflow.cnst.nginx.conf/blob/master/sf.432636.detecting-slashdot-effect-in-nginx.conf :

limit_req_zone $http_referer zone=slash:10m rate=1r/m;  # XXX: how many req/minute?
server {
    listen 2636;
    location / {
        limit_req zone=slash nodelay;
        #limit_req_status 429;  #nginx 1.3.15
        #error_page 429 = @dot;
        error_page 503 = @dot;
        proxy_pass http://localhost:2635;
        # an outright `return 200` has a higher precedence over the limit
    }
    recursive_error_pages on;
    location @dot {
        proxy_pass http://127.0.0.1:2637/?ref=$http_referer;
        # if you don't have `resolver`, no URI modification is allowed:
        #proxy_pass http://localhost:2637;
        proxy_intercept_errors on;
        error_page 429 = @slash;
    }
    location @slash {
        # XXX: placeholder for your content:
        return 200 "$uri: we're too fast!\n";
    }
}
server {
    listen 2635;
    # XXX: placeholder for your content:
    return 200 "$uri: going steady\n";
}
proxy_cache_path /tmp/nginx/slashdotted inactive=1h
        max_size=64m keys_zone=slashdotted:10m;
server {
    # we need to flip the 200 status into the one >=300, so that
    # we can then catch it through proxy_intercept_errors above
    listen 2637;
    error_page 429 @/.;
    return 429;
    location @/. {
        proxy_cache slashdotted;
        proxy_cache_valid 200 60s;  # XXX: how often to get notifications?
        proxy_pass http://localhost:2638;
    }
}
server {
    # IRL this would be an actual script, or
    # a proxy_pass redirect to an HTTP to SMS or SMTP gateway
    listen 2638;
    return 200 authorities_alerted\n;
}

โปรดทราบว่าสิ่งนี้ทำงานได้ตามที่คาดไว้:

% sh -c 'rm /tmp/slashdotted.nginx/*; mkdir /tmp/slashdotted.nginx; nginx -s reload; for i in 1 2 3; do curl -H "Referer: test" localhost:2636; sleep 2; done; tail /var/log/nginx/access.log'
/: going steady
/: we're too fast!
/: we're too fast!

127.0.0.1 - - [26/Aug/2017:02:05:49 +0200] "GET / HTTP/1.1" 200 16 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:49 +0200] "GET / HTTP/1.0" 200 16 "test" "curl/7.26.0"

127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET / HTTP/1.1" 200 19 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET /?ref=test HTTP/1.0" 200 20 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET /?ref=test HTTP/1.0" 429 20 "test" "curl/7.26.0"

127.0.0.1 - - [26/Aug/2017:02:05:53 +0200] "GET / HTTP/1.1" 200 19 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:53 +0200] "GET /?ref=test HTTP/1.0" 429 20 "test" "curl/7.26.0"
%

คุณสามารถเห็นได้ว่าคำขอแรกส่งผลให้ front-end หนึ่งและแบ็กเอนด์ตีหนึ่งตามที่คาดไว้ (ฉันต้องเพิ่มแบ็กเอนด์ดัมมี่ไปยังตำแหน่งที่มีlimit_reqเนื่องจากreturn 200จะมีความสำคัญเหนือกว่าขีด จำกัด แบ็กเอนด์จริงไม่จำเป็น สำหรับส่วนที่เหลือของการจัดการ)

คำขอที่สองอยู่เหนือขีด จำกัด ดังนั้นเราจึงส่งการแจ้งเตือน (รับ200) และแคชส่งคืน429(จำเป็นเนื่องจากข้อ จำกัด ที่กล่าวมาข้างต้นซึ่งไม่สามารถจับการร้องขอที่ต่ำกว่า 300) ซึ่งจะถูกดักจับโดย front-end ซึ่งฟรีตอนนี้สามารถทำอะไรก็ได้ที่ต้องการ

คำขอที่สามยังคงเกินขีด จำกัด แต่เราได้ส่งการแจ้งเตือนไปแล้วดังนั้นจึงไม่มีการส่งการแจ้งเตือนใหม่

ทำ! อย่าลืมแยกไว้บน GitHub!