[关闭]
@gy-ban 2016-12-25T11:33:48.000000Z 字数 2199 阅读 1042

rails 安全模块Rack-Attack

rails

简介

Rack::Attack是rails用来防御一些恶意请求的rack 中间件。主要通过safelisting, blocklisting, throttling, and tracking 这几个模块来过滤每个请求。

安装使用

1、安装rack-attack gem,或者将其添加到Gemfile中

  1. gem 'rack-attack'

2、添加到application.rb

  1. # In config/application.rb
  2. config.middleware.use Rack::Attack

3、创建配置文件rack-attack.rb放到config/initializers/

  1. # In config/initializers/rack-attack.rb
  2. class Rack::Attack
  3.   # your custom configuration...
  4. end

实现原理

Rack::Attack中间件会对每一个请求进行匹配过滤,默认每个模块的值是空,所以只有在配置文件中定义了才会起到作用。
匹配顺序:
1、首先匹配safelist模块,如果匹配上则通过,不再进行后面的模块匹配。
2、如果没有,则匹配blocklist,如果匹配,就会对这个请求进行block操作
3、如果没有,则匹配throttle,这个模块会用到rails缓存用来计数,没匹配一次计数加一,一旦请求达到限定值,则进行block操作。
4、如果没有,则匹配tracks
5、如果都没有匹配上,这个请求默认是allowed

模块介绍

Safelists

  1. # 允许来些本机的请求
  2. # 如果用户在whitelist中, blacklist 与 throttles 规则将被跳过
  3. Rack::Attack.safelist('allow from localhost') do |req|
  4.   # 如果返回 true,表示请求是允许的
  5.   '127.0.0.1' == req.ip
  6. end

Blocklists

  1. # 禁止来自IP 1.2.3.4的 请求
  2. Rack::Attack.blacklist('block 1.2.3.4.') do |req|
  3.   '1.2.3.4' == req.ip
  4. end

Fail2Ban

  1. Rack::Attack.blacklist('fail2ban') do |req|
  2.   # 遇到匹配的请求,会直接 black (返回true)
  3.   # 如果用户继续请求,在 findtime 时间内请求超过 maxretry 次时
  4.   # 在 bantime 时间内将被禁止任何访问 (不再运行 block 中的判断,直接返回true)
  5.   Rack::Attack::Fail2Ban.filter(req.ip, maxretry: 3, findtime: 10.minutes, bantime: 5.minutes) do
  6.     req.params['query'] =~ /password|admin/
  7.   end
  8. end

Allow2Ban

  1. Rack::Attack.blacklist('allow2ban login scrapers') do |req|
  2.   # 遇到匹配的请求会返回 false
  3.   # 如果用户在 findtime 时间内请求超过 maxretry 次时
  4.   # 在 bantime 时间内将被禁止任何访问 (不再运行 block 中的判断,直接返回true)
  5.   Rack::Attack::Allow2Ban.filter(req.ip, maxretry: 10, findtime: 1.minute, bantime: 1.hour) do
  6.     req.path == '/login'
  7.   end
  8. end

Throttles

  1. # 限制每个 IP 每秒(period) 最多发送 3 个请求
  2. Rack::Attack.throttle('req/ip', limit: 3, period: 1.second) do |req|
  3.   req.ip
  4. end
  6. # 限制每个 email 60秒内,最多请求 `/login` 接口5次
  7. Rack::Attack.throttle('login/email', limit: 5, period: 60) do |req|
  8.   if req.path == '/login' && req.post?
  9.     req.params['email']
  10.   end
  11. end
  13. # 通过proc来动态调整 limit 和 period
  14. limit_proc = proc {|req| req.env["REMOTE_USER"] == "admin" ? 100 : 1}
  15. period_proc = proc {|req| req.env["REMOTE_USER"] == "admin" ? 1.second : 1.minute}
  16. Rack::Attack.throttle('req/ip', :limit => limit_proc, :period => period_proc) do |req|
  17.   req.ip
  18. end

Tracks

  1. # 追踪特定的请求,每个匹配的请求都会触发 notification 
  2. Rack::Attack.trace('special_agent') do |req|
  3.   req.user_agent == 'SpecialAgent'
  4. end
  6. # 支持可选参数 limit 和 period, 只有达到 limit 的限制时,才会触发 notification
  7. Rack::Attack.trace('special_agent', limit: 10, period: 1.minute) do |req|
  8.   req.user_agent == 'SpecialAgent'
  9. end
添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注