我正在使用 nodejs 和 express 编写一个 api,我的应用程序由 openshift 免费计划托管。 我想保护我的路线免受蛮力攻击。例如,如果一个 IP 每秒发送超过 5 个请求,则将其阻止 5 分钟。 :)
【问题讨论】:
标签: node.js api express brute-force
最好限制反向代理、负载均衡器或任何其他 node.js 应用程序入口点的速率。
但是,有时它不符合要求。
rate-limiter-flexible 包有你需要的阻止选项
const { RateLimiterMemory } = require('rate-limiter-flexible');
const opts = {
points: 5, // 5 points
duration: 1, // Per second
blockDuration: 300, // block for 5 minutes if more than points consumed
};
const rateLimiter = new RateLimiterMemory(opts);
const rateLimiterMiddleware = (req, res, next) => {
// Consume 1 point for each request
rateLimiter.consume(req.connection.remoteAddress)
.then(() => {
next();
})
.catch((rejRes) => {
res.status(429).send('Too Many Requests');
});
};
app.use(rateLimiterMiddleware);
您可以为任何确切的路由配置rate-limiter-flexible。见official express docs about using middlwares
还有集群或分布式应用程序以及许多其他有用的选项
【讨论】:
如果您使用的是Express 框架,那么 NPM 上有几个专用于此的包:
这些可用于限制 ip,也可用于其他信息(例如,通过用户名来尝试登录失败)。
【讨论】:
没有什么可以阻止您直接在 Node.js/express 中实现这一点,但这种事情通常(而且几乎可以肯定更容易)通过使用 nginx 或 Apache httpd 之类的东西来处理您的流量应用程序。
这有一个额外的好处是允许您完全以非特权用户身份运行应用程序,因为 nginx(或其他)将绑定到端口 80 和 443(需要管理/超级用户/任何权限)而不是您的应用程序。此外,您还可以轻松获得许多其他理想功能,例如静态内容缓存。
nginx 有a module specifically for this:
ngx_http_limit_req_module 模块 (0.7.21) 用于限制每个已定义键的请求处理速率,特别是来自单个 IP 地址的请求的处理速率。
【讨论】: