नगनेक्स में स्लेशडॉट प्रभाव का पता लगाना

क्या कोई तरीका है कि मैं मुझे सूचित करने के लिए नगीनेक्स बना सकता हूं अगर एक रेफरल से हिट एक सीमा से परे जाती है?

उदाहरण के लिए, यदि मेरी वेबसाइट Slashdot में चित्रित की गई है और अचानक मेरे पास एक घंटे में आने वाले 2K हिट हैं, तो मैं चाहता हूं कि जब 1K एक घंटे से अधिक हो जाए तो मुझे सूचित किया जाए।

क्या नगीनक्स में ऐसा करना संभव होगा? संभवतः लू के बिना? (चूँकि मेरे प्रोडक्ट्स में लुआ संकलित नहीं है)

सबसे कुशल समाधान एक डेमॉन होता है कि लिखने के लिए हो सकता है , और का ट्रैक रखने के क्षेत्र।tail -faccess.log$http_referer

हालाँकि, एक त्वरित और गंदा समाधान एक अतिरिक्त access_logफ़ाइल जोड़ना होगा , केवल एक $http_refererचर के साथ चर को लॉग इन करने के लिए log_format, और स्वचालित रूप से लॉग को हर दस मिनट में घुमाएगी।

• इसे मानक लॉगोट स्क्रिप्ट्स की मदद से पूरा किया जा सकता है, जिसके लिए फाइलों को फिर से खोलने के लिए (जैसे मानक प्रक्रिया, एक साधारण समय के लिए / a / 15183322 / एसओ पर एक नज़र रखना चाहिए) नगनेक्स के सुशोभित पुनरारंभ करने की आवश्यकता हो सकती है- आधारित स्क्रिप्ट) ...

• या, भीतर चर का उपयोग करके access_log, संभवत: मिनट विनिर्देशन $time_iso8601को mapएक ifनिर्देश की सहायता से या एक निर्देश के आधार पर प्राप्त करके (यह निर्भर करता है कि आप कहां रखना चाहते हैं access_log)।

तो, उपरोक्त के साथ, आपके पास 6 लॉग फाइलें हो सकती हैं, जिनमें से प्रत्येक 10 मिनट की अवधि को कवर करती है http_referer.Txx{0,1,2,3,4,5}x.log, उदाहरण के लिए, प्रत्येक फ़ाइल को अलग करने के लिए मिनट का पहला अंक प्राप्त करके।

अब, आपको बस एक सरल शेल स्क्रिप्ट देनी है, जो हर 10 मिनट पर चल सकती है, catउपरोक्त सभी फाइलें एक साथ, इसे पाइप करें sort, इसे पाइप करें uniq -c, टू sort -rn, टू head -16, और आपके पास 16 सबसे आम Refererविविधताओं की एक सूची है। यह तय करने के लिए स्वतंत्र है कि क्या संख्या और क्षेत्र का कोई संयोजन आपके मानदंड से अधिक है, और एक अधिसूचना करें।

इसके बाद, एक एकल सफल अधिसूचना के बाद, आप इन 6 फ़ाइलों में से सभी को निकाल सकते हैं, और बाद के रनों में, किसी भी अधिसूचना को जारी नहीं करते हैं, सभी छह फाइलें मौजूद हैं (और / या एक निश्चित अन्य संख्या, जैसा कि आप फिट देखते हैं)।

मुझे लगता है कि यह लॉगलेट और grep के साथ कहीं बेहतर होगा। यहां तक ​​कि अगर यह लुआ इनलाइन के साथ करना संभव है, तो आप हर अनुरोध के लिए उस ओवरहेड को नहीं चाहते हैं और जब आप स्लैशडॉट किए गए हैं तो आप इसे विशेष रूप से नहीं चाहते हैं।

यहाँ एक 5-सेकंड संस्करण है। इसे एक स्क्रिप्ट में चिपकाएँ और इसके चारों ओर कुछ और पठनीय पाठ डालें और आप सुनहरे हों।

5 * * * * logtail -f /var/log/nginx/access_log -o /tmp/nginx-logtail.offset | grep -c "http://[^ ]slashdot.org"

बेशक, यह पूरी तरह से reddit.com और facebook.com और लाखों अन्य साइटों को अनदेखा करता है जो आपको बहुत सारे ट्रैफ़िक भेज सकते हैं। 100 अलग-अलग साइटों का उल्लेख नहीं करने के लिए आपको प्रत्येक 20 आगंतुकों को भेज रहा है। आपके पास संभवतः एक सादा पुराना ट्रैफ़िक थ्रेशोल्ड होना चाहिए, जो आपके लिए एक ईमेल भेजने का कारण बनता है, चाहे वह किसी भी तरह का हो।

Nginx limit_req_zone निर्देश, किसी भी चर पर अपने क्षेत्रों का आधार कर सकते हैं $ http_referrer भी शामिल है।

http {
    limit_req_zone  $http_referrer  zone=one:10m   rate=1r/s;

    ...

    server {

        ...

        location /search/ {
            limit_req   zone=one  burst=5;
        }

आप वेब सर्वर पर आवश्यक राज्य की मात्रा को सीमित करने के लिए भी कुछ करना चाहेंगे, हालांकि, रेफ़र हेडर काफी लंबे और विविध हो सकते हैं और आप एक इनफिनिटी संस्करण देख सकते हैं। आप सभी अनुरोधों के लिए वैरिएबल हैडर के हैश पर आधारित एक चर सेट करने के लिए nginx विभाजित_क्लियर सुविधा का उपयोग कर सकते हैं । नीचे दिए गए उदाहरण में केवल 10 रुपये का उपयोग किया गया है, लेकिन आप इसे 1000 के साथ आसानी से कर सकते हैं। इसलिए यदि आप स्लैशडॉट हो गए हैं, तो जिन लोगों का रेफ़र उसी बाल्टी में हैश करने के लिए हुआ है क्योंकि स्लैशडॉट URL भी ब्लॉक हो जाएगा, लेकिन आप विभाजित करने वाले ग्राहकों में 1000 बाल्टियों का उपयोग करके 0.1% तक सीमित कर सकते हैं।

यह कुछ इस तरह दिखेगा (पूरी तरह से अप्रयुक्त, लेकिन प्रत्यक्ष रूप से सही):

http {

split_clients $http_referrer $refhash {
               10%               x01;
               10%               x02;
               10%               x03;
               10%               x04;
               10%               x05;
               10%               x06;
               10%               x07;
               10%               x08;
               10%               x09;
               *                 x10;
               }

limit_req_zone  $refhash  zone=one:10m   rate=1r/s;

...

server {

    ...

    location /search/ {
        limit_req   zone=one  burst=5;
    }

हाँ, बेशक यह NGINX में संभव है!

आप निम्नलिखित डीएफए को लागू कर सकते हैं :

1. मूल्यों को सामान्य करने के लिए $http_refererसंभवतः कुछ रेगेक्स का उपयोग करके , के आधार पर , दर सीमित करना लागू करें map। जब सीमा पार हो जाती है, तो एक आंतरिक त्रुटि पृष्ठ उठाया जाता है, जिसे आप संबंधित प्रश्न के अनुसारerror_page हैंडलर के माध्यम से पकड़ सकते हैं , एक आंतरिक रीडायरेक्ट (क्लाइंट के लिए दृश्यमान नहीं) के रूप में एक नए आंतरिक स्थान पर जा सकते हैं।

2. अधिक सीमाओं के लिए उपरोक्त स्थान में, आप एक चेतावनी अनुरोध करते हैं, जिससे बाहरी तर्क सूचना को निष्पादित कर सकते हैं; इस अनुरोध को बाद में कैश किया जाता है, यह सुनिश्चित करते हुए कि आपको दिए गए समय विंडो के अनुसार केवल 1 अद्वितीय अनुरोध प्राप्त होगा।

3. पूर्व अनुरोध के HTTP स्थिति कोड को पकड़ो (एक स्थिति कोड using 300 लौटाकर और proxy_intercept_errors on, या, वैकल्पिक रूप से, नहीं-निर्मित-बाय-डिफ़ॉल्ट का उपयोग करें auth_requestया add_after_body"निशुल्क" सबरेक्वेस्ट) का उपयोग करें, और मूल अनुरोध को पूरा करें पहले चरण में शामिल नहीं था। ध्यान दें कि हमें काम करने के लिए पुनरावर्ती error_pageसंचालन को सक्षम करने की आवश्यकता है ।

यहाँ मेरा PoC और एक MVP है, वो भी https://github.com/cnst/StackOverflow.cnst.nginx.conf/blob/master/sf.432636.detecting-slashdot-effect-in-nginx.conf पर :

limit_req_zone $http_referer zone=slash:10m rate=1r/m;  # XXX: how many req/minute?
server {
    listen 2636;
    location / {
        limit_req zone=slash nodelay;
        #limit_req_status 429;  #nginx 1.3.15
        #error_page 429 = @dot;
        error_page 503 = @dot;
        proxy_pass http://localhost:2635;
        # an outright `return 200` has a higher precedence over the limit
    }
    recursive_error_pages on;
    location @dot {
        proxy_pass http://127.0.0.1:2637/?ref=$http_referer;
        # if you don't have `resolver`, no URI modification is allowed:
        #proxy_pass http://localhost:2637;
        proxy_intercept_errors on;
        error_page 429 = @slash;
    }
    location @slash {
        # XXX: placeholder for your content:
        return 200 "$uri: we're too fast!\n";
    }
}
server {
    listen 2635;
    # XXX: placeholder for your content:
    return 200 "$uri: going steady\n";
}
proxy_cache_path /tmp/nginx/slashdotted inactive=1h
        max_size=64m keys_zone=slashdotted:10m;
server {
    # we need to flip the 200 status into the one >=300, so that
    # we can then catch it through proxy_intercept_errors above
    listen 2637;
    error_page 429 @/.;
    return 429;
    location @/. {
        proxy_cache slashdotted;
        proxy_cache_valid 200 60s;  # XXX: how often to get notifications?
        proxy_pass http://localhost:2638;
    }
}
server {
    # IRL this would be an actual script, or
    # a proxy_pass redirect to an HTTP to SMS or SMTP gateway
    listen 2638;
    return 200 authorities_alerted\n;
}

ध्यान दें कि यह उम्मीद के मुताबिक काम करता है:

% sh -c 'rm /tmp/slashdotted.nginx/*; mkdir /tmp/slashdotted.nginx; nginx -s reload; for i in 1 2 3; do curl -H "Referer: test" localhost:2636; sleep 2; done; tail /var/log/nginx/access.log'
/: going steady
/: we're too fast!
/: we're too fast!

127.0.0.1 - - [26/Aug/2017:02:05:49 +0200] "GET / HTTP/1.1" 200 16 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:49 +0200] "GET / HTTP/1.0" 200 16 "test" "curl/7.26.0"

127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET / HTTP/1.1" 200 19 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET /?ref=test HTTP/1.0" 200 20 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET /?ref=test HTTP/1.0" 429 20 "test" "curl/7.26.0"

127.0.0.1 - - [26/Aug/2017:02:05:53 +0200] "GET / HTTP/1.1" 200 19 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:53 +0200] "GET /?ref=test HTTP/1.0" 429 20 "test" "curl/7.26.0"
%

आप देख सकते हैं कि पहला अनुरोध एक फ्रंट-एंड और एक बैकएंड हिट के परिणामस्वरूप होता है, जैसा कि अपेक्षित था (मुझे उस स्थान पर एक डमी बैकएंड जोड़ना होगा limit_req, क्योंकि return 200सीमा से अधिक पूर्वता होगी, एक वास्तविक बैकेंड आवश्यक नहीं है बाकी हैंडलिंग के लिए)।

दूसरा अनुरोध सीमा से ऊपर है, इसलिए, हम अलर्ट भेजते हैं (प्राप्त करते हैं 200), और इसे कैश करते हैं, लौटाते हैं 429(यह उपरोक्त सीमा के कारण आवश्यक है कि 300 से नीचे के अनुरोधों को पकड़ा नहीं जा सकता), जिसे बाद में फ्रंट-एंड द्वारा पकड़ा गया है , जो अब स्वतंत्र है जो चाहे वह करने के लिए स्वतंत्र है।

तीसरा अनुरोध अभी भी सीमा से अधिक है, लेकिन हमने पहले ही अलर्ट भेज दिया है, इसलिए, कोई नया अलर्ट नहीं भेजा जाता है।

किया हुआ! यह GitHub पर कांटा करने के लिए मत भूलना!