1
火車票搶票軟件大家都知道,相信大多數人都用過,什么智行,攜程,飛豬,都有搶票功能,尤其是在節假日,大家為了搶票,紛紛各種轉發,加錢,升級自己的搶票級別,其實背后的機制就是瘋狂的調12306的訂票接口,調的頻率高,搶到票的幾率就高,12306也發表聲明,這種瘋狂調接口的平臺12306已經做了限制。
做限制,無外乎就是限制ip訪問頻率,要不就是控制接口最大并發量,有些惡意攻擊就是瘋狂調接口,把你接口調的欲哭無淚,下面就來寫一個限制ip訪問的機制。
2
這個限制ip訪問機制就是通過控制ip一段時間訪問次數如果超過這個次數,就將該ip拉入黑名單一段時間,等限制時間結束,再移出黑名單。
首先我們創建一個監聽器,這個監聽器的作用就是在初始化項目時進行一些基礎信息的創建。
@JAVAx.servlet.annotation.WebListener
public class WebListener implements ServletContextListener {
public void contextInitialized(ServletContextEvent servletContextEvent) {
Logger logger = LoggerFactory.getLogger(WebListener.class);
logger.info("Project初始化成功");
ServletContext context = servletContextEvent.getServletContext();
// IP存儲器
Map<String, Long[]> ipMap = new ConcurrentHashMap<String, Long[]>();
context.setAttribute("ipMap", ipMap);
// 限制IP存儲器:存儲被限制的IP信息
Map<String, Long> limitedIpMap = new HashMap<String, Long>();
context.setAttribute("limitedIpMap", limitedIpMap);
logger.info("ipmap:"+ipMap.toString()+";limitedIpMap:"+limitedIpMap.toString()+"初始化成功。。。。。");
}
public void contextDestroyed(ServletContextEvent servletContextEvent) {
}
}
這個監聽器的作用就是初始化一個Ip存儲器和限制IP存儲器,Ip存儲器就是將請求來的ip進行存儲,限制IP存儲器就是將被拉入黑名單的ip進行存儲。
Ip存儲器創建好之后就是要創建過濾器,我們實現ip限制就是依靠過濾器進行實現,創建一個過濾器,設置對所有請求進行攔截。
@WebFilter(urlPatterns = "/*")
public class IpFilter implements Filter {
這個@WebFilter注解就是設置攔截器的攔截范圍
接著我們就主要是在doFilter方法里實現我們的ip限制功能,ip限制通過默認限制時間,ip連續訪問閥值,用戶最小訪問安全時間這三點進行靈活控制。
public class IpFilter implements Filter {
/**
* 默認限制時間(單位:ms)
*/
private static final long LIMITED_TIME_MILLIS = 60 * 1000;
/**
* 用戶連續訪問最高閥值,超過該值則認定為惡意操作的IP,進行限制
*/
private static final int LIMIT_NUMBER = 5;
/**
* 用戶訪問最小安全時間,在該時間內如果訪問次數大于閥值,則記錄為惡意IP,否則視為正常訪問
*/
private static final long MIN_SAFE_TIME = 60 * 1000;
private FilterConfig config;
public void init(FilterConfig config) throws ServletException {
this.config = config;
}
public class IpFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
ServletContext context = config.getServletContext();
// 獲取限制IP存儲器:存儲被限制的IP信息
Map<String, Long> limitedIpMap = (Map<String, Long>) context.getAttribute("limitedIpMap");
// 過濾受限的IP
filterLimitedIpMap(limitedIpMap);
/**
* @param limitedIpMap
* @Description 過濾受限的IP,剔除已經到期的限制IP
*/
private void filterLimitedIpMap(Map<String, Long> limitedIpMap) {
if (limitedIpMap == null) {
return;
}
Set<String> keys = limitedIpMap.keySet();
Iterator<String> keyIt = keys.iterator();
long currentTimeMillis = System.currentTimeMillis();
while (keyIt.hasNext()) {
long expireTimeMillis = limitedIpMap.get(keyIt.next());
if (expireTimeMillis <= currentTimeMillis) {
keyIt.remove();
}
}
}
首先我們需要獲取ip存儲器,然后對當前的限制ip進行過濾,看是否有已經超過默認時間的ip,將其從限制ip中移除。
// 獲取用戶IP
String ip = IpUtil.getIpAddr(request);
System.err.println("ip:" + ip);
// 判斷是否是被限制的IP,如果是則跳到異常頁面
if (isLimitedIP(limitedIpMap, ip)) {
long limitedTime = limitedIpMap.get(ip) - System.currentTimeMillis();
// 剩余限制時間(用為從毫秒到秒轉化的一定會存在些許誤差,但基本可以忽略不計)
request.setAttribute("remainingTime", ((limitedTime / 1000) + (limitedTime % 1000 > 0 ? 1 : 0)));
//request.getRequestDispatcher("/error/overLimitIP").forward(request, response);
System.err.println("ip訪問過于頻繁:" + ip + "當前時間" + System.currentTimeMillis());
return;
}
/**
* @param limitedIpMap
* @param ip
* @return true : 被限制 | false : 正常
* @Description 是否是被限制的IP
*/
private boolean isLimitedIP(Map<String, Long> limitedIpMap, String ip) {
if (limitedIpMap == null || ip == null) {
// 沒有被限制
return false;
}
Set<String> keys = limitedIpMap.keySet();
Iterator<String> keyIt = keys.iterator();
while (keyIt.hasNext()) {
String key = keyIt.next();
if (key.equals(ip)) {
// 被限制的IP
return true;
}
}
return false;
}
接著就要判斷當前訪問的ip是否在限制Ip名單內,如果在,就進行攔截,不讓其進行訪問。
// 獲取IP存儲器
Map<String, Long[]> ipMap = (Map<String, Long[]>) context.getAttribute("ipMap");
// 判斷存儲器中是否存在當前IP,如果沒有則為初次訪問,初始化該ip
// 如果存在當前ip,則驗證當前ip的訪問次數
// 如果大于限制閥值,判斷達到閥值的時間,如果不大于[用戶訪問最小安全時間]則視為惡意訪問,跳轉到異常頁面
if (ipMap.containsKey(ip)) {
Long[] ipInfo = ipMap.get(ip);
ipInfo[0] = ipInfo[0] + 1;
System.out.println("當前第[" + (ipInfo[0]) + "]次訪問");
if (ipInfo[0] > LIMIT_NUMBER) {
Long ipAccessTime = ipInfo[1];
Long currentTimeMillis = System.currentTimeMillis();
if (currentTimeMillis - ipAccessTime <= MIN_SAFE_TIME) {
limitedIpMap.put(ip, currentTimeMillis + LIMITED_TIME_MILLIS);
request.setAttribute("remainingTime", LIMITED_TIME_MILLIS);
System.err.println("ip訪問過于頻繁:" + ip);
request.getRequestDispatcher("/views/error.jsp").forward(request, response);
return;
} else {
//初始化用戶訪問次數和訪問時間
initIpVisitsNumber(ipMap, ip);
}
}
//當ip訪問時間與上一次訪問時間相隔一分鐘時,對該ip的訪問次數,和時間進行重置
updateCurrentTimeIp(ipMap, ip);
} else {
//初始化用戶訪問次數和訪問時間
initIpVisitsNumber(ipMap, ip);
System.out.println("您首次訪問該網站");
}
context.setAttribute("ipMap", ipMap);
chain.doFilter(request, response);
/**
* 初始化用戶訪問次數和訪問時間
*
* @param ipMap
* @param ip
*/
private void initIpVisitsNumber(Map<String, Long[]> ipMap, String ip) {
Long[] ipInfo = new Long[3];
ipInfo[0] = 0L;// 訪問次數
ipInfo[1] = System.currentTimeMillis();// 初次訪問時間
ipInfo[2] = System.currentTimeMillis();
ipMap.put(ip, ipInfo);
}
/**
* @param updateCurrentTimeIp
* @Description 當ip訪問時間與上一次訪問時間相隔一分鐘時,對該Ip的訪問次數,和時間進行重置
*/
private void updateCurrentTimeIp(Map<String, Long[]> ipMap, String ip) {
Long[] ipInfo = ipMap.get(ip);
Long ipAccessTime = ipInfo[2];
Long currentTimeMillis = System.currentTimeMillis();
if (ipAccessTime != 0 && (currentTimeMillis - ipAccessTime) >= MIN_SAFE_TIME) {
System.out.println("進來了");
Long[] longs = ipMap.get(ip);
longs[0] = 0l;
longs[1] = System.currentTimeMillis();
longs[2] = System.currentTimeMillis();
}
}
最后就是要判斷該存儲器中有沒有當前ip,沒有就要存到ip存儲器中,有的話就要根據當前ip訪問次數和到達閥值時間進行判斷是否需要攔截,這里有個ipUtil代碼我沒放上來,我現在方桑來,方便大家直接拿去用,是一個簡單獲取訪問ip的工具類。
/*
* ip訪問限制,限制ip每分鐘訪問次數
*
*
* */
public class IpUtil {
public static String getIpAddr(ServletRequest servletRequest) {
HttpServletRequest request=(HttpServletRequest) servletRequest;
String ipAddress = null;
try {
ipAddress = request.getHeader("x-forwarded-for");
if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
ipAddress = request.getHeader("Proxy-Client-IP");
}
if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
ipAddress = request.getHeader("WL-Proxy-Client-IP");
}
if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
ipAddress = request.getRemoteAddr();
if (ipAddress.equals("127.0.0.1")) {
// 根據網卡取本機配置的IP
InetAddress inet = null;
try {
inet = InetAddress.getLocalHost();
} catch (Exception e) {
e.printStackTrace();
}
ipAddress = inet.getHostAddress();
}
}
// 對于通過多個代理的情況,第一個IP為客戶端真實IP,多個IP按照','分割
if (ipAddress != null && ipAddress.length() > 15) { // "***.***.***.***".length()
// = 15
if (ipAddress.indexOf(",") > 0) {
ipAddress = ipAddress.substring(0, ipAddress.indexOf(","));
}
}
} catch (Exception e) {
ipAddress="";
}
// ipAddress = this.getRequest().getRemoteAddr();
return ipAddress;
}
}
啟動項目進行測試訪問
您首次訪問該網站 ip:192.168.137.1 當前第[2]次訪問 當前第[3]次訪問 ip:192.168.137.1 ip:192.168.137.1 當前第[4]次訪問 當前第[5]次訪問 ip:192.168.137.1 ip:192.168.137.1 ip訪問過于頻繁:192.168.137.1 當前第[6]次訪問 ip:192.168.137.1 ip訪問過于頻繁:192.168.137.1當前時間1560790500409
通過上述步驟,我們的ip限制訪問功能就已經實現了,控制ip訪問其實在很多公司項目中都是會用到的,尤其是B2C,C2C這樣的項目,ip訪問攔截可以有效防止惡意攻擊,我這個寫的也是相對比較簡單的,在應對高并發,微服務,負載集群項目時還需要進行改進,尤其在ip存儲和限制ip存儲可以考慮用redis進行實現,后期如果有時間我也會將其擴展成更實用更符合現在主流項目形式的ip訪問限制功能。
