✨ Supports CC deny

ADD-SP · ADD-SP · commit 3a93e190b8cb · 2020-08-10T01:09:03.000+08:00
🚩 Mount to NGX_HTTP_PREACCESS_PHASE
diff --git a/.gitignore b/.gitignore
@@ -0,0 +1 @@
+inc/uthash
diff --git a/README.md b/README.md
@@ -6,6 +6,7 @@
 
 ## 功能
 
++ CC 防御，超出限制后自动拉黑一段时间。
 + IPV4 黑白名单，支持 CIDR 表示法。
 + URL 黑白名单
 + GET 参数黑名单
@@ -25,15 +26,19 @@ nginx 添加新的模块必须要重新编译，所以先[下载 nginx 源码](h
 ```bash
 cd /usr/local/src
 git clone https://github.com/ADD-SP/ngx_waf.git
+cd ngx_waf
+git clone -b v2.1.0 https://github.com/troydhanson/uthash.git
 ```
 
-#### 编译
+#### 编译 nginx
+
+进入 nginx 源代码目录
 
 ```bash
 ./configure xxxxxx --add-module=/usr/local/src/ngx_waf
 make && make install
 ```
-> xxxxxx 为其它的编译参数。
+> xxxxxx 为其它的编译参数，一般来说是将 xxxxxx 替换为`nginx -V`显示的编译参数。
 
 #### 修改 nginx.conf
 
@@ -46,16 +51,23 @@ http {
         ...
         ngx_waf on;
         ngx_waf_rule_path /usr/local/src/rules/;
+        ngx_waf_cc_deny on;
+        ngx_waf_cc_deny_limit 5 1;
         ...
     }
     ...
 }
 
 ```
 
-> ngx_waf 表示是否启用模块。<br>
+> ngx_waf 表示是否启用模块。
+
 > ngx_waf_rule_path 表示规则文件所在的文件夹，且必须以`/`结尾。
 
+> ngx_waf_cc_deny 表示是否启用 CC 防御。
+
+> ngx_waf_cc_deny_limit 包含两个参数，第一个参数表示每分钟的最多请求次数（大于零），第二个参数表示第一个参数的限制后拉黑 IP 多少分钟（大于零）。
+
 #### 测试
 
 ```text
@@ -74,10 +86,11 @@ https://example.com/www.bak
 2. URL 白名单
 3. Referer 白名单
 4. IP 黑名单
-5. URL 黑名单
-6. 参数黑名单
-7. Referer 黑名单
-8. UserAgent 黑名单
+5. CC 防御
+6. URL 黑名单
+7. 参数黑名单
+8. Referer 黑名单
+9. UserAgent 黑名单
 
 ### rules/ipv4
 
@@ -131,6 +144,7 @@ Referer 白名单。写法同`referer`。
 
 ## 感谢
 
++ [uthash](https://github.com/troydhanson/uthash): 本项目使用了版本为 v2.1.0 的 uthash 的源代码。uthash 源代码以及开源许可位于`inc/uthash/`。
 + [ngx_lua_waf](https://github.com/loveshell/ngx_lua_waf): 本模块的默认规则大多来自于此
 + [nginx-book](https://github.com/taobao/nginx-book): 感谢作者提供的教程
 + [nginx-development-guide](https://github.com/baishancloud/nginx-development-guide): 感谢作者提供的教程
diff --git a/config b/config
@@ -1,3 +1,3 @@
 ngx_addon_name=ngx_http_waf_module
 HTTP_MODULES="$HTTP_MODULES ngx_http_waf_module"
-NGX_ADDON_SRCS="$NGX_ADDON_SRCS $ngx_addon_dir/ngx_http_waf_module.c"
+NGX_ADDON_SRCS="$NGX_ADDON_SRCS $ngx_addon_dir/src/ngx_http_waf_module.c"
diff --git a/inc/ngx_http_waf_module.h b/inc/ngx_http_waf_module.h
@@ -0,0 +1,121 @@
+#ifndef NGX_HTTP_WAF_MODULE
+#define NGX_HTTP_WAF_MODULE
+
+#include <ngx_config.h>
+#include <ngx_core.h>
+#include <ngx_http.h>
+#include <ngx_regex.h>
+#include <ngx_inet.h>
+#include "uthash/src/uthash.h"
+
+/* 对应配置文件的文件名 */
+#define IPV4_FILE ("ipv4")
+#define URL_FILE ("url")
+#define ARGS_FILE ("args")
+#define UA_FILE ("user-agent")
+#define REFERER_FILE ("referer")
+#define WHITE_IPV4_FILE ("white-ipv4")
+#define WHITE_URL_FILE ("white-url")
+#define WHITE_REFERER_FILE ("white-referer")
+
+#define SUCCESS (1)
+#define FAIL (0)
+#define TRUE (1)
+#define FALSE (0)
+
+/* 检查对应文件是否存在，如果存在则根据 mode 的值将数据处理后存入数组中 */
+#define CHECK_AND_LOAD_CONF(cf, buf, end, filename, ngx_array, mode) { \
+strcat(buf, filename); \
+    if (access(buf, 2) != 0 || load_into_array(cf, buf, ngx_array, mode) == FAIL) { \
+        ngx_conf_log_error(NGX_LOG_ERR, cf, 0, "ngx_waf: %s: %s", buf, "No such file or directory"); \
+        return NGX_CONF_ERROR; \
+    } \
+    *end = '\0'; \
+}
+
+typedef unsigned char u_char;
+
+typedef struct {
+    int key;
+    unsigned long times;
+    time_t start_time;
+    UT_hash_handle hh;
+} hash_table_item_int_ulong_t;
+
+typedef struct {
+    ngx_pool_t* ngx_pool;
+    ngx_int_t ngx_waf;
+    ngx_str_t ngx_waf_rule_path;
+    ngx_int_t ngx_waf_cc_deny;
+    ngx_int_t ngx_waf_cc_deny_limit;
+    ngx_int_t ngx_waf_cc_deny_duration;
+    ngx_array_t* block_ipv4;
+    ngx_array_t* block_url;
+    ngx_array_t* block_args;
+    ngx_array_t* block_ua;
+    ngx_array_t* block_referer;
+    ngx_array_t* white_ipv4;
+    ngx_array_t* white_url;
+    ngx_array_t* white_referer;
+    hash_table_item_int_ulong_t* ipv4_times;
+}ngx_http_waf_srv_conf_t;
+
+typedef struct {
+    size_t prefix;
+    size_t suffix;
+}ipv4_t;
+
+static char* ngx_http_waf_conf(ngx_conf_t* cf, ngx_command_t* cmd, void* conf);
+
+
+static char* ngx_http_waf_rule_path_conf(ngx_conf_t* cf, ngx_command_t* cmd, void* conf);
+
+
+static char* ngx_http_waf_cc_deny_conf(ngx_conf_t* cf, ngx_command_t* cmd, void* conf);
+
+
+static char* ngx_http_waf_cc_deny_limit_conf(ngx_conf_t* cf, ngx_command_t* cmd, void* conf);
+
+
+static ngx_int_t ngx_http_waf_init_after_load_config(ngx_conf_t* cf);
+
+
+static void* ngx_http_waf_create_srv_conf(ngx_conf_t* cf);
+
+
+static ngx_int_t ngx_http_waf_handler(ngx_http_request_t* r);
+
+/*
+* 将一个字符串形式的 IPV4 地址转化为 ngx_ipv4_t
+* 合法的字符串只有类似 192.168.1.1 和 1.1.1.0/24 这两种形式
+* 如果成功则返回 SUCCESS，反之返回 FALI
+*/
+static ngx_int_t parse_ipv4(ngx_str_t text, ipv4_t* ipv4);
+
+/*
+* 检查 ip 是否属于数组中的某个 ipv4 地址
+* 第二个参数是一个元素类型为 ngx_ipv4_t 的数组
+* 如果匹配到返回 SUCCESS，反之返回 FAIL
+*/
+static ngx_int_t check_ipv4(unsigned long ip, ngx_array_t* a);
+
+/* 将 ngx_str 转化为 C 风格的字符串 */
+static char* to_c_str(u_char* destination, ngx_str_t ngx_str);
+
+/*
+* 读取指定文件的内容到数组中
+* 当 mode = 0 时会将读取到文本编译成正则表达式再存储
+* 当 mode = 1 时会将读取到的文本转化为 ngx_ipv4_t 再存储
+* 如果成功则返回 SUCCESS，反之返回 FAIL
+*/
+static ngx_int_t load_into_array(ngx_conf_t* cf, const char* file_name, ngx_array_t* ngx_array, ngx_int_t mode);
+
+
+/*
+* 检查当前的 ip 地址是否超出频率限制
+* 如果超出则返回 SUCCESS，反之返回 FAIL
+*/
+static ngx_int_t check_cc_ipv4(ngx_http_request_t* r, ngx_http_waf_srv_conf_t* srv_conf, unsigned long ipv4);
+
+
+#endif // !NGX_HTTP_WAF_MODULE
diff --git a/src/ngx_http_waf_module.c b/src/ngx_http_waf_module.c
