Slashdot-Effekt in Nginx erkennen

Gibt es eine Möglichkeit, Nginx dazu zu bringen, mich zu benachrichtigen, wenn Treffer eines Empfehlers einen Schwellenwert überschreiten?

Beispiel: Wenn meine Website bei Slashdot vorgestellt wird und plötzlich in einer Stunde 2.000 Treffer eingehen, möchte ich benachrichtigt werden, wenn mehr als 1.000 Treffer pro Stunde erzielt werden.

Wird es möglich sein, dies in Nginx zu tun? Möglicherweise ohne lua? (da mein prod nicht lua kompiliert ist)

Die effizienteste Lösung könnte darin bestehen, einen Daemon zu schreiben, würde tail -fdas access.log, und Spur des halten $http_refererFeld.

Eine schnelle und schmutzige Lösung wäre jedoch, eine zusätzliche access_logDatei hinzuzufügen , nur die $http_refererVariable mit einem benutzerdefinierten Protokoll zu protokollieren log_formatund das Protokoll automatisch alle X Minuten zu drehen.

• Dies kann mithilfe von Standard-Logrotate-Skripten erreicht werden, die möglicherweise ordnungsgemäße Neustarts von Nginx durchführen müssen, damit die Dateien erneut geöffnet werden können (z. B. die Standardprozedur, sehen Sie sich für eine einfache Zeit / a / 15183322 auf SO an. basiertes Skript)…

• Oder indem Sie Variablen innerhalb verwenden access_log, möglicherweise indem Sie die Minutenangabe $time_iso8601mithilfe der mapoder einer ifDirektive herausholen (je nachdem, wo Sie Ihre platzieren möchten access_log).

Mit dem oben Gesagten können Sie also 6 Protokolldateien haben, die jeweils einen Zeitraum von 10 Minuten abdecken http_referer.Txx{0,1,2,3,4,5}x.log, z. B. indem Sie die erste Ziffer der Minute abrufen, um jede Datei zu unterscheiden.

Jetzt müssen Sie nur noch ein einfaches Shell-Skript caterstellen, das alle 10 Minuten ausgeführt werden kann. Alle oben genannten Dateien werden zusammen geleitet, sortan uniq -c, an sort -rn, an head -16und weitergeleitet, und Sie haben eine Liste der 16 häufigsten RefererVariationen - Sie können frei entscheiden, ob Kombinationen von Zahlen und Feldern Ihre Kriterien überschreiten, und eine Benachrichtigung durchführen.

Anschließend können Sie nach einer einzigen erfolgreichen Benachrichtigung alle diese 6 Dateien entfernen und in nachfolgenden Läufen keine Benachrichtigung ausgeben, es sei denn, alle sechs Dateien sind vorhanden (und / oder eine bestimmte andere Nummer, wie Sie es für richtig halten).

Ich denke, das wäre mit Logtail und Grep weitaus besser. Selbst wenn es möglich ist, mit lua inline zu arbeiten, möchten Sie diesen Overhead nicht für jede Anfrage und insbesondere nicht, wenn Sie einen Slashdotted erhalten haben.

Hier ist eine 5-Sekunden-Version. Stecke es in ein Skript und füge etwas lesbareren Text hinzu, und du bist golden.

5 * * * * logtail -f /var/log/nginx/access_log -o /tmp/nginx-logtail.offset | grep -c "http://[^ ]slashdot.org"

Das ignoriert natürlich völlig reddit.com und facebook.com und all die Millionen anderer Websites, die Ihnen viel Verkehr schicken könnten. Ganz zu schweigen von 100 verschiedenen Websites, die Ihnen jeweils 20 Besucher senden. Sie sollten wahrscheinlich nur einen einfachen alten Verkehrsschwellenwert haben , der dazu führt, dass eine E-Mail an Sie gesendet wird, unabhängig vom Referrer.

Die Direktive nginx limit_req_zone kann ihre Zonen auf einer beliebigen Variablen basieren, einschließlich $ http_referrer.

http {
    limit_req_zone  $http_referrer  zone=one:10m   rate=1r/s;

    ...

    server {

        ...

        location /search/ {
            limit_req   zone=one  burst=5;
        }

Sie sollten jedoch auch etwas tun, um den auf dem Webserver erforderlichen Status zu begrenzen, da die Referrer-Header sehr lang und unterschiedlich sein können und möglicherweise eine unendliche Vielfalt angezeigt wird. Mit der Funktion nginx split_clients können Sie eine Variable für alle Anforderungen festlegen , die auf dem Hash des Referrer-Headers basiert. Das folgende Beispiel verwendet nur 10 Böcke, aber Sie können es genauso einfach mit 1000 machen. Wenn Sie also einen Schrägstrich erhalten, werden auch Personen blockiert, deren Verweis zufällig in denselben Bucket wie die Slashdot-URL gehasht wurde. Sie können dies jedoch auf 0,1% der Besucher beschränken, indem Sie 1000 Buckets in split_clients verwenden.

Es würde ungefähr so ​​aussehen (völlig ungetestet, aber richtungsrichtig):

http {

split_clients $http_referrer $refhash {
               10%               x01;
               10%               x02;
               10%               x03;
               10%               x04;
               10%               x05;
               10%               x06;
               10%               x07;
               10%               x08;
               10%               x09;
               *                 x10;
               }

limit_req_zone  $refhash  zone=one:10m   rate=1r/s;

...

server {

    ...

    location /search/ {
        limit_req   zone=one  burst=5;
    }

Ja, natürlich ist das in NGINX möglich!

Sie können den folgenden DFA implementieren :

1. Implementieren Sie eine Ratenbegrenzung, basierend auf der $http_refererVerwendung von Regex durch a map, um die Werte zu normalisieren. Wenn das Limit überschritten wird, wird eine interne Fehlerseite ausgelöst, die Sie gemäß einer verwandten Frage über einen error_pageHandler abrufen können und die als interne Umleitung an einen neuen internen Speicherort wechselt (für den Client nicht sichtbar).

2. An der oben genannten Stelle für überschrittene Grenzwerte führen Sie eine Warnanforderung aus, sodass die externe Logik die Benachrichtigung ausführt. Diese Anfrage wird anschließend zwischengespeichert, um sicherzustellen, dass Sie nur 1 eindeutige Anfrage pro Zeitfenster erhalten.

3. Fangen Sie den HTTP-Statuscode der vorherigen Anforderung ab (indem Sie einen Statuscode ≥ 300 zurückgeben und proxy_intercept_errors onden nicht standardmäßig nicht erstellten Standardcode verwenden auth_requestoder alternativ add_after_bodyeine "kostenlose" Unteranforderung erstellen) und schließen Sie die ursprüngliche Anforderung so ab, als ob Der vorherige Schritt war nicht beteiligt. Beachten Sie, dass wir die rekursive error_pageBehandlung aktivieren müssen, damit dies funktioniert.

Hier ist mein PoC und ein MVP, ebenfalls unter https://github.com/cnst/StackOverflow.cnst.nginx.conf/blob/master/sf.432636.detecting-slashdot-effect-in-nginx.conf :

limit_req_zone $http_referer zone=slash:10m rate=1r/m;  # XXX: how many req/minute?
server {
    listen 2636;
    location / {
        limit_req zone=slash nodelay;
        #limit_req_status 429;  #nginx 1.3.15
        #error_page 429 = @dot;
        error_page 503 = @dot;
        proxy_pass http://localhost:2635;
        # an outright `return 200` has a higher precedence over the limit
    }
    recursive_error_pages on;
    location @dot {
        proxy_pass http://127.0.0.1:2637/?ref=$http_referer;
        # if you don't have `resolver`, no URI modification is allowed:
        #proxy_pass http://localhost:2637;
        proxy_intercept_errors on;
        error_page 429 = @slash;
    }
    location @slash {
        # XXX: placeholder for your content:
        return 200 "$uri: we're too fast!\n";
    }
}
server {
    listen 2635;
    # XXX: placeholder for your content:
    return 200 "$uri: going steady\n";
}
proxy_cache_path /tmp/nginx/slashdotted inactive=1h
        max_size=64m keys_zone=slashdotted:10m;
server {
    # we need to flip the 200 status into the one >=300, so that
    # we can then catch it through proxy_intercept_errors above
    listen 2637;
    error_page 429 @/.;
    return 429;
    location @/. {
        proxy_cache slashdotted;
        proxy_cache_valid 200 60s;  # XXX: how often to get notifications?
        proxy_pass http://localhost:2638;
    }
}
server {
    # IRL this would be an actual script, or
    # a proxy_pass redirect to an HTTP to SMS or SMTP gateway
    listen 2638;
    return 200 authorities_alerted\n;
}

Beachten Sie, dass dies wie erwartet funktioniert:

% sh -c 'rm /tmp/slashdotted.nginx/*; mkdir /tmp/slashdotted.nginx; nginx -s reload; for i in 1 2 3; do curl -H "Referer: test" localhost:2636; sleep 2; done; tail /var/log/nginx/access.log'
/: going steady
/: we're too fast!
/: we're too fast!

127.0.0.1 - - [26/Aug/2017:02:05:49 +0200] "GET / HTTP/1.1" 200 16 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:49 +0200] "GET / HTTP/1.0" 200 16 "test" "curl/7.26.0"

127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET / HTTP/1.1" 200 19 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET /?ref=test HTTP/1.0" 200 20 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:51 +0200] "GET /?ref=test HTTP/1.0" 429 20 "test" "curl/7.26.0"

127.0.0.1 - - [26/Aug/2017:02:05:53 +0200] "GET / HTTP/1.1" 200 19 "test" "curl/7.26.0"
127.0.0.1 - - [26/Aug/2017:02:05:53 +0200] "GET /?ref=test HTTP/1.0" 429 20 "test" "curl/7.26.0"
%

Sie können sehen, dass die erste Anforderung erwartungsgemäß zu einem Front-End- und einem Back-End-Treffer führt (ich musste dem Speicherort ein Dummy-Back-End hinzufügen , bei dem ein echtes Back -End nicht erforderlich ist limit_req, da a return 200Vorrang vor den Grenzwerten hat für den Rest der Handhabung).

Die zweite Anforderung liegt über dem Grenzwert, daher senden wir die Warnung (Abrufen 200) und zwischenspeichern sie und geben sie zurück 429(dies ist aufgrund der oben genannten Einschränkung erforderlich, dass Anforderungen unter 300 nicht abgefangen werden können), die anschließend vom Front-End abgefangen wird , die jetzt frei ist, frei zu tun, was sie will.

Die dritte Anforderung überschreitet immer noch das Limit, aber wir haben die Warnung bereits gesendet, sodass keine neue Warnung gesendet wird.

Erledigt! Vergiss nicht, es auf GitHub zu teilen!