详解Java分布式IP限流和防止恶意IP攻击方案

详解Java分布式IP限流和防止恶意IP攻击方案

前言

限流是分布式系统设计中经常提到的概念，在某些要求不严格的场景下，使用Guava RateLimiter就可以满足。但是Guava RateLimiter只能应用于单进程，多进程间协同控制便无能为力。本文介绍一种简单的处理方式，用于分布式环境下接口调用频次管控。

如何防止恶意IP攻击某些暴露的接口呢（比如某些场景下短信验证码服务）？本文介绍一种本地缓存和分布式缓存集成方式判断远程IP是否为恶意调用接口的IP。

分布式IP限流

思路是使用redis incr命令，完成一段时间内接口请求次数的统计，以此来完成限流相关逻辑。

private static final String LIMIT_LUA =

"local my_limit = redis.call('incr', KEYS[1])\n" +

" if tonumber(my_limit) == 1 then\n" +

" redis.call('expire', KEYS[1], ARGV[1])\n" +

" return 1\n" +

" elseif tonumber(my_limit) > tonumber(ARGV[2]) then\n" +

" return 0\n" +

" else\n" +

" return 1\n" +

" end\n";

这里为啥时候用lua脚本来实现呢？因为要保证incr命令和expire命令的原子性操作。KEYS[1]代表自增key值， ARGV[1]代表过期时间，ARGV[2]代表最大频次，明白了这些参数的含义，整个lua脚本逻辑也就不言而喻了。

/**

* @param limitKey 限制Key值

* @param maxRate 最大速率

* @param expire Key过期时间

*/

public boolean access(String limitKey, int maxRate, int expire) {

if (StringUtils.isBlank(limitKey)) {

return true;

}

String cacheKey = LIMIT_KEY_PREFIX + limitKey;

return REDIS_SUCCESS_STATUS.equals(

this.cacheService.eval(

LIMIT_LUA

, Arrays.asList(cacheKey)

, Arrays.asList(String.valueOf(expire), String.valueOf(maxRate))

).toString()

);

}

public void unlimit(String limitKey) {

if (StringUtils.isBlank(limitKey)) {

return;

}

String cacheKey = LIMIT_KEY_PREFIX + limitKey;

this.cacheService.decr(cacheKey);

}

access方法用来判断 limitKey 是否超过了最大访问频次。缓存服务对象（cacheService）的eval方法参数分别是lua脚本、key list、value list。

unlimit方法其实就是执行redis decr操作，在某些业务场景可以回退访问频次统计。

防止恶意IP攻击

由于某些对外暴露的接口很容易被恶意用户攻击，必须做好防范措施。最近我就遇到了这么一种情况，我们一个快应用产品，短信验证码服务被恶意调用了。通过后台的日志发现，IP固定，接口调用时间间隔固定，明显是被人利用了。虽然我们针对每个手机号每天发送短信验证码的次数限制在5次以内。但是短信验证码服务每天这样被重复调用，会打扰用户并产生投诉。针对这种现象，简单的做了一个方案，可以自动识别恶意攻击的IP并加入黑名单。

思路是这样的，针对某些业务场景，约定在一段时间内同一个IP访问最大频次，如果超过了这个最大频次，那么就认为是非法IP。识别了非法IP后，把IP同时放入本地缓存和分布式缓存中。非法IP再次访问的时候，拦截器发现本地缓存（没有则去分布式缓存）有记录这个IP，直接返回异常状态，不会继续执行正常业务逻辑。

Guava本地缓存集成Redis分布式缓存

public abstract class AbstractCombineCache {

private static Logger LOGGER = LoggerFactory.getLogger(AbstractCombineCache.class);

protected Cache localCache;

protected ICacheService cacheService;

public AbstractCombineCache(Cache localCache, ICacheService cacheService) {

this.localCache = localCache;

this.cacheService = cacheService;

}

public Cache getLocalCache() {

return localCache;

}

public ICacheService getCacheService() {

return cacheService;

}

public V get(K key) {

//只有LoadingCache对象才有get方法，如果本地缓存不存在key值， 会执行CacheLoader的load方法，从分布式缓存中加载。

if (localCache instanceof LoadingCache) {

try {

return ((LoadingCache) localCache).get(key);

} catch (ExecutionException e) {

LOGGER.error(String.format("cache key=%s loading error...", key), e);

return null;

} catch (CacheLoader.InvalidCacheLoadException e) {

//分布式缓存中不存在这个key

LOGGER.error(String.format("cache key=%s loading fail...", key));

return null;

}

} else {

return localCache.getIfPresent(key);

}

}

public void put(K key, V value, int expire) {

this.localCache.put(key, value);

String cacheKey = key instanceof String ? (String) key : key.toString();

if (value instanceof String) {

this.cacheService.setex(cacheKey, (String) value, expire);

} else {

this.cacheService.setexObject(cacheKey, value, expire);

}

}

}

AbstractCombineCache这个抽象类封装了guava本地缓存和redis分布式缓存操作，可以降低分布式缓存压力。

防止恶意IP攻击缓存服务

public class IPBlackCache extends AbstractCombineCache {

private static Logger LOGGER = LoggerFactory.getLogger(IPBlackCache.class);

private static final String IP_BLACK_KEY_PREFIX = "wmhipblack_";

private static final String REDIS_SUCCESS_STATUS = "1";

private static final String IP_RATE_LUA =

"local ip_rate = redis.call('incr', KEYS[1])\n" +

" if tonumber(ip_rate) == 1 then\n" +

" redis.call('expire', KEYS[1], ARGV[1])\n" +

" return 1\n" +

" elseif tonumber(ip_rate) > tonumber(ARGV[2]) then\n" +

" return 0\n" +

" else\n" +

" return 1\n" +

" end\n";

public IPBlackCache(Cache localCache, ICacheService cacheService) {

super(localCache, cacheService);

}

/**

* @param ipKey IP

* @param maxRate 最大速率

* @param expire 过期时间

*/

public boolean ipAccess(String ipKey, int maxRate, int expire) {

if (StringUtils.isBlank(ipKey)) {

return true;

}

String cacheKey = IP_BLACK_KEY_PREFIX + ipKey;

return REDIS_SUCCESS_STATUS.equals(

this.cacheService.eval(

IP_RATE_LUA

, Arrays.asList(cacheKey)

, Arrays.asList(String.valueOf(expire), String.valueOf(maxRate))

).toString()

);

}

/**

* @param ipKey IP

*/

public void removeIpAccess(String ipKey) {

if (StringUtils.isBlank(ipKey)) {

return;

}

String cacheKey = IP_BLACK_KEY_PREFIX + ipKey;

try {

this.cacheService.del(cacheKey);

} catch (Exception e) {

LOGGER.error(String.format("%s, ip access remove error...", ipKey), e);

}

}

}

没有错，IP_RATE_LUA 这个lua脚本和上面说的限流方案对应的lua脚本是一样的。

IPBlackCache继承了AbstractCombineCache，构造函数需要guava的本地Cache对象和redis分布式缓存服务ICacheService 对象。

ipAccess方法用来判断当前ip访问次数是否在一定时间内已经达到了最大访问频次。

removeIpAccess方法是直接移除当前ip访问频次统计的key值。

防止恶意IP攻击缓存配置类

@Configuration

public class IPBlackCacheConfig {

private static final String IPBLACK_LOCAL_CACHE_NAME = "ip-black-cache";

private static Logger LOGGER = LoggerFactory.getLogger(IPBlackCacheConfig.class);

@Autowired

private LimitConstants limitConstants;

@Bean

public IPBlackCache ipBlackCache(@Autowired ICacheService cacheService) {

GuavaCacheBuilder cacheBuilder = new GuavaCacheBuilder(IPBLACK_LOCAL_CACHE_NAME);

cacheBuilder.setCacheBuilder(

CacheBuilder.newBuilder()

.initialCapacity(100)

.maximumSize(10000)

.concurrencyLevel(10)

.expireAfterWrite(limitConstants.getIpBlackExpire(), TimeUnit.SECONDS)

.removalListener((RemovalListener) notification -> {

String curTime = LocalDateTime.now().toString();

LOGGER.info(notification.getKey() + " 本地缓存移除时间：" + curTime);

try {

cacheService.del(notification.getKey());

LOGGER.info(notification.getKey() + " 分布式缓存移除时间：" + curTime);

} catch (Exception e) {

LOGGER.error(notification.getKey() + " 分布式缓存移除异常...", e);

}

})

);

cacheBuilder.setCacheLoader(new CacheLoader() {

@Override

public Object load(String key) {

try {

Object obj = cacheService.getString(key);

LOGGER.info(String.format("从分布式缓存中加载key=%s, value=%s", key, obj));

return obj;

} catch (Exception e) {

LOGGER.error(key + " 从分布式缓存加载异常...", e);

return null;

}

}

});

Cache localCache = cacheBuilder.build();

IPBlackCache ipBlackCache = new IPBlackCache(localCache, cacheService);

return ipBlackCache;

}

}

注入redis分布式缓存服务ICacheService对象。

通过GuavaCacheBuilder构建guava本地Cache对象，指定初始容量（initialCapacity）、最大容量（maximumSize）、并发级别、key过期时间、key移除监听器。最终要的是CacheLoader这个参数，是干什么用的呢？如果GuavaCacheBuilder指定了CacheLoader对象，那么最终创建的guava本地Cache对象是LoadingCache类型（参考AbstractCombineCache类的get方法），LoadingCache对象的get方法首先从内存中获取key对应的value，如果内存中不存在这个key则调用CacheLoader对象的load方法加载key对应的value值，加载成功后放入内存中。

最后通过ICacheService对象和guava本地Cache对象创建IPBlackCache（防止恶意IP攻击缓存服务）对象。

拦截器里恶意IP校验

定义一个注解，标注在指定方法上，拦截器里会识别这个注解。

@Target(ElementType.METHOD)

@Retention(RetentionPolicy.RUNTIME)

public @interface IPBlackLimit {

//统计时间内最大速率

int maxRate();

//频次统计时间

int duration();

//方法名称

String method() default StringUtils.EMPTY;

}

拦截器里加入ipAccess方法，校验远程IP是否为恶意攻击的IP。

/**

* @param method 需要校验的方法

* @param remoteAddr 远程IP

*/

private boolean ipAccess(Method method, String remoteAddr) {

if (StringUtils.isBlank(remoteAddr) || !AnnotatedElementUtils.isAnnotated(method, IPBlackLimit.class)) {

return true;

}

IPBlackLimit ipBlackLimit = AnnotatedElementUtils.getMergedAnnotation(method, IPBlackLimit.class);

try {

String ip = remoteAddr.split(",")[0].trim();

String cacheKey = "cipb_" + (StringUtils.isBlank(ipBlackLimit.method()) ? ip : String.format("%s_%s", ip, ipBlackLimit.method()));

String beginAccessTime = (String) ipBlackCache.get(cacheKey);

if (StringUtils.isNotBlank(beginAccessTime)) {

LocalDateTime beginTime = LocalDateTime.parse(beginAccessTime, DateTimeFormatter.ISO_LOCAL_DATE_TIME), endTime = LocalDateTime.now();

Duration duration = Duration.between(beginTime, endTime);

if (duration.getSeconds() >= limitConstants.getIpBlackExpire()) {

ipBlackCache.getLocalCache().invalidate(cacheKey);

return true;

} else {

return false;

}

}

boolean access = ipBlackCache.ipAccess(cacheKey, ipBlackLimit.maxRate(), ipBlackLimit.duration());

if (!access) {

ipBlackCache.removeIpAccess(cacheKey);

String curTime = LocalDateTime.now().format(DateTimeFormatter.ISO_LOCAL_DATE_TIME);

ipBlackCache.put(cacheKey, curTime, limitConstadwvtlnts.getIpBlackExpire());

}

return access;

} catch (Exception e) {

LOGGER.error(String.format("method=%sï¼remoteAddr=%s, ip access check error.", method.getName(), remoteAddr), e);

return true;

}

}

remoteAddr取的是X-Forwarded-For对应的值。利用 remoteAddr 构造 cacheKey 参数，通过IPBlackCache判断 cacheKey 是否存在。

如果是 cacheKey 存在的请求，判断黑名单IP限制是否已经到达有效期，如果已经超过有效期则清除本地缓存和分布式缓存的 cacheKey ，请求合法；如果没有超过有效期则请求非法。

否则是 cacheKey 不存在的请求，使用IPBlackCache对象的ipAccess方法统计一定时间内的访问频次，如果频次超过最大限制，表明是非法请求IP，需要往IPBlackCache对象写入“ cacheKey =当前时间”。

总结

本文的两种方案都使用redis incr命令，如果不是特殊业务场景，redis的key要指定过期时间，严格来讲需要保证incr和expire两个命令的原子性，所以使用lua脚本方式。如果没有那么严格，完全可以先setex（设置key，value，过期时间），然后再incr（注： incr不会更新key的有效期 ）。本文的设计方案仅供参考，并不能应用于所有的业务场景。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。