安科网

定制Apache的防盗链模块 Mod_perl<1>

daidaizhuzhu

daidaizhuzhu

2011-05-28

关注 关注

fromhttp://bbs.chinaunix.net/viewthread.php?tid=1039570

定制Apache的防盗链模块

Author:[email protected]

Date:2008-1-8

网上介绍比较多的防盗链配置方法是使用reference来识别请求是否来自本站。但reference的弊端是很容易伪造,如迅雷之类的工具就使用了伪造的reference,让防盗链设置无效。

这里介绍的方法是自己定制Apache的防盗链模块。一般防盗链要保护的是可供下载的大型文件,如视频、图片等。这些文件以链接形式嵌入在网页里,通过点击来获取文件的绝对路径。如果嵌在网页里的文件路径未作任何保护,例如某个视频文件路径是:

http://example.com/1234.rm

那么恭喜你,不久你就会被迅雷等网站收录,成为他们的流量贡献节点了。

但如果这个视频文件的路径是:

http://example.com/1234.rm?a=33d591d3ba7ae0cedc99a65f723ad0ea

a=后面是md5加密的验证串,Apache服务器会获取这个验证串并进行校验,如果合法,则允许下载,否则拒绝访问(返回403)。这样一来,别人不知道你的验证串加密算法,也就不能盗链你的资源了。

这个串由前台网页程序产生,由后台的Apache服务器来进行验证。这里假定网页程序是PHP,当然也可以是其他任何动态语言如Perl、Python、Java等。PHP和下载服务器的Apache模块共同约定此算法,因为PHP产生一个md5加密串,后台的Apache需要用相同算法产生一个md5串,并进行对比校验。这个串的产生条件,通常包括用户IP、目标文件ID、访问时间、双方约定的ShareKey等。将这些条件联合起来,并用md5加密成一个串,然后将该串作为参数传给下载服务器的Apache。Apache获取到请求后,再对这个串进行校验。

如何在Apache端配置这个防盗链模块呢?这里我使用modperl。modperl是个非常强大的开发工具,它可以访问Apache内部的所有API,可以在Apache响应处理的各个阶段定制自己的处理器。mod_rewrite想必很多人都知道它的强大,其实mod_rewrite的功能,用modperl也可以轻松的编写出来。

Apache处理一个请求分成很多个阶段,这里我们只要在Access这个阶段做一些处理就够了。也就是说,在Apache里加载一个处理器,在文件被访问前,由该处理器对验证串进行校验,校验通过才允许访问。

在使用modperl之前,首先需要装好它。Apache有1.3版本和2.x版本,同样modperl也有1.0版本和2.0版本。1.0版本已停止开发了,处于维护阶段。出于更好的性能考虑,我们使用httpd2.0和modperl2.0版本。

modperl需要结合Apache进行安装,并且需要安装libapreq2。安装过程请见我的另一篇文档:http://pyh7.spaces.live.com/blog/cns!47D8D44208AC51E5!128.entry

装好modperl后,修改httpd.conf配置文件,增加如下配置:

1.PerlPostConfigRequire/opt/httpd2/run/startup.pl

2.

3.<Location/protect>

4.SetHandlermodperl

5.PerlAccessHandlerDLAuth2

6.

7.PerlSetVarShareKeyTestKey

8.PerlAddVarPassAuthIPs192.168.0.1-192.168.0.254

9.</Location>

第1行的startup.pl是初始配置文件,这个文件主要有2个作用:加载处理器的运行目录,和预加载一些类库。

第3行表示/protect这个web目录下的文件,都受防盗链保护。

第4行表示设置处理器类型为modperl。

第5行是关键,这里加载了我们的Access验证模块,模块名是DLAuth2。

第7行是加密验证串的shareKey,这个Key也需要告诉前台的网页开发人员。

第8行是防盗链白名单IP,若没有,则注释掉该行即可。

接着,在Apache的根目录(这里假定是/opt/httpd2)下面创建一个run子目录,将防盗链模块DLAuth2.pm和startup.pl都放在该目录下。另外,创建/protect这个web根目录(例如/opt/httpd2/htdocs/protect),将需要防盗链保护的文件(如视频或图片)放在这个目录下,也可以将其他文件目录link或mount到该目录下。

startup.pl的内容类似如下:

usestrict;

uselibqw(/opt/httpd2/run);#加载处理器的运行目录

#useApache2::RequestIO();#预加载的类库

useApache2::RequestRec();

useApache2::Connection();

useApache2::RequestUtil();

useApache2::ServerUtil();

useApache2::Log();

useApache2::Request();

1;#不要丢了这个1,表示返回真给调用者

DLAuth2.pm内容类似如下:

packageDLAuth2;

usestrict;

usewarnings;

useSocketqw(inet_aton);

usePOSIXqw(strftime);

useDigest::MD5qw(md5_hex);

#useApache2::RequestIO();

useApache2::RequestRec();

useApache2::Connection();

useApache2::RequestUtil();

useApache2::ServerUtil();

useApache2::Log();

useApache2::Request();

useApache2::Const-compile=>qw(OKFORBIDDEN);

subhandler{#处理器的钩子函数,函数名不能改

my$r=shift;#请求目标

my$q=Apache2::Request->new($r);

my$s=Apache2::ServerUtil->server;

my$ip=$r->connection->remote_ip;#获取访问者IP

my$fid=$q->param('fid')||get_fileid();#获取目标文件ID

my$ip_int=ip2int($ip);#将IP转换成大整数

my$shareKey=$r->dir_config('ShareKey')||'';#从配置文件获取shareKey

my@passip=$r->dir_config->get('PassAuthIPs');#从配置文件获取白名单IP

my@passip_int;#白名单IP数组

for(@passip){#将白名单IP转换成整数数组

if(/-/){

my($start,$end)=split/-/;

my$start_int=ip2int($start);

my$end_int=ip2int($end);

for(my$i=$start_int;$i<=$end_int;$i++){

push@passip_int,$i;

}

}else{

push@passip_int,ip2int($_);

}

}

for(@passip_int){#如果请求IP位于白名单里,则允许访问

returnApache2::Const::OKif$ip_int==$_;

}

#日期这里取的是当前天,为防止时间不一致,在我的产品程序里,时间设置比较宽松,当前天的前后2天都是可以的。

my$date=strftime("%Y%m%d",localtime);

#基于相关条件产生验证串。

my$auth_string=generate_auth_string($ip_int,$fid,$date,$shareKey);

#获取请求URL的验证串,该串由前台PHP程序产生

my$str=$q->param('a')||'';

if($streq$auth_string){

returnApache2::Const::OK;#如果2串一致,则允许访问

}else{

$s->log_error("[$ipFORBIDDEN]Authfailed");#否则拒绝并记录log

returnApache2::Const::FORBIDDEN;

}

returnApache2::Const::OK;#默认策略是允许访问

}

subip2int{#将IP转换成大整数的函数

my$ip=shift;

my$nl=inet_aton($ip);

die"wrongip$!"unlessdefined$nl;

returnunpack('N',$nl);

}

subgenerate_auth_string{#产生验证串的函数,返回一个md5加密串

...#你自己的代码用来产生验证串,此处算法必须和前台PHP的算法一致

}

subget_fileid{#获取目标文件ID的函数,简单的做法是文件名就包含ID

…#你自己的代码用来获取目标文件ID

}

1;

配好上述后,stop再startApache,一个强大的防盗链系统就产生了。

补充一下,上述对Apache的访问控制设置,只用到了modperl的一个很浅的功能。如果你想改造或定制Apache,实际上modperl可以做任何你想要的。如下是一些参考文档:

modperl官方文档:http://perl.apache.org/docs/index.html

modperl编程指南(本人翻译):http://home.arcor.de/jeffpang/mod_perl/

防盗链 apache

daidaizhuzhu

daidaizhuzhu

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

PHP实现图片防盗链破解操作示例【解决图片防盗链问题/反向代理】

本文实例讲述了PHP实现图片防盗链破解操作。分享给大家供大家参考,具体如下:。很多小伙伴的博客,网站都是用图床来实现的,那么现在很多稳定的图床接口都被做了防盗链处理,例如百度、阿里、京东、小米、搜狗等。所以我们应该怎么避开防盗链直接使用图片呢?当客户端(浏

WasteLand 2020-06-13

(012)Nginx静态资源web服务_防盗链配置

  基于http_refer防盗链配置模块语法:  Syntax:valid_referers none | blocked | server_names | string ...;  Default:-  Context:server,location.

咻咻ing 2020-05-10

后端程序员 不得不了解的 网站防盗链

下午摸鱼的时候遇到了一件有意思的事,在网上找到一个资源站,将资源站的 url 放到自己的博客里,想白嫖一波,结果在我自己的博客里链接失效了,折腾半天忽然想起来,这个网站应该是做了防盗链处理。而如此做法却严重的损害了TX网的利益,不仅分流了大量用户,而且由于

jxiao000 2020-04-30

使用第三方模块ngx_http_accesskey_module实现Nginx防盗链

解压此文件后,找到nginx-accesskey-2.0.3下的config文件。用一下参数重新编译nginx:./configure --add-module=path/to/nginx-accesskey. accesskey_arg为url中的关键字

SZStudy 2020-04-16

使用Nginx解决跨域,防盗链,宕机,DDOS攻击

在通过代理服务器nginx向真实的服务器发送请求时,如果有一个服务器集群,它们按照轮询或者权重的负载均衡策略运作下去,当轮到a服务器接受nginx的请求时,a服务器突然宕机了,那么没有做任何措施的情况下,这个请求会一直请求下去,直到被响应或者响应超时报错,

SZStudy 2020-02-10

Nginx防盗链和FPM模块优化

配置nginx实现防盗链在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失nginx防盗链功能也非常强大。blocked:referer不为空的情况,但是值被代理或者防火墙删除了,这些值不以http://或者https://开

houjinkai 2020-01-03

Nginx防盗链配置实例——从盗链模拟到防盗链设置流程细解

对于图片来说,A网站,如果想使用B网站的图片,可以直接写上B网站图片的链接地址,或者将B网站的图片通过右键另存为的方式下载到本地,然后在页面上使用。如果B网站不想A网站这么干了,那么B网站可以采取防盗链的措施来干这个工作,结果就是,A网站想请求所需要的资源

aolishuai 2019-12-25

Apache网页优化之防盗链

listen-on port 53 { any; }; //括号内127.0.0.1替换为any. file "kgc.com.zone"; //指定域名对应的区域数据配置文件。[ named]#

大白配小猪 2019-11-12

Nginx优化与防盗链

但是 Nginx 并不支持 cgi 方式运行,原因是可以减少因此带来的一些程序上的漏洞。所以必须使用 FastCGI 方式来执行 PHP 程序。由于 Nginx 本身的一些优点, 轻量,开源,易用,越来越多的公司使用 nginx 作为自己公司的 web 应

yongzhang 2019-10-25

文件服务器防盗链--FastDFS+nginx

nginx实现fastdfs通过url访问---此时可以设置location拦截特征,防盗链能访问有关。前几天讲了LAMP Apache如何利用.htaccess进行防盗链,今天我们来说说nginx如何防盗链的。比如Nginx下有3个项目,A、B、C,也就

单调的低调 2019-09-09

Nginx配置防盗链的完整步骤

ééèè·±è§éè¨è§ééè±éè±è±é豨èè~~."Referer"¤é¨ééèèéé¤èéhttp://èhttps://¤.

fenghuoliuxing0 2019-09-07

php简单防盗链实现方法

本文实例讲述了php简单防盗链实现方法。分享给大家供大家参考。希望本文所述对大家的php程序设计有所帮助。

weialemon 2015-07-29

让nginx的expires和防盗链都有效

access_log off;root /opt/app/xuexi6;expires 1h;#break;location ~* ^.+\.(jpg|jpeg|gif|png|swf|rar|zip)$ {. valid_referers none bl

xxuyuan 2011-07-02

Nginx防盗链详细设置

accesskey_arg为url中的关键字参数;访问第一个download_add_key链接可以正常下载,第二个链接download_org_path会返回403Forbidden错误。

CSDNMrWang 2011-06-13

定制Apache的防盗链模块 Mod_perl&lt;0&gt; Mod_perl多进程预创建目标

这里使用主流的apache2.0和modperl2版本.默认安装的Apache2都支持DSO方式加载第三方模块,在编译modperl2时只须指定对应的apxs即可.另外Perl对线程的支持一直有问题,因此Apache2在编译时最好指定以prefork方式运

chumeng 2011-06-04

java 防盗链 referer 疑问-如何真正防盗链

看了一点文章,apache和ngix等防盗链也是使用referer这个参数,怎么能真正的防盗链呢?防盗链的做法不说了,可能大部分都是使用的referer这个参数,以前面试的时候有个人问我怎么防止用户登录了,但是这个用户就想在打开浏览器输入地址访问后台的ac

loveyy 2013-08-10

Nginx防盗链

if{}里面内容的意思是,如果来路不是指定来路就跳转到错误页面,当然直接返回404也是可以的。其中none表示空的来路,也就是直接访问,比如直接在浏览器打开一个图片,blocked表示被防火墙标记过的来路,server_names也就是域名了。

xxuyuan 2011-03-22

nginx 搭建flv流媒体服务器并做accesskey 防盗链

此时已完成平滑升级并加入flv和accesskey模板;接下来可以配置nginx.conf要注意路径格式root字段写在server里在根据root路径添加防盗链路径。设置完毕后测试的时候还需要一个支持拖拽的flash播放器。开源的JWplayer就可以实

yanghan 2012-12-27

流媒体防盗链防下载

是个千百年来都没有得到彻底解决的问题.我想归根结底还是因为现在的流媒体播放器本身能够得到流文件的地址的原因,所以单纯的在网页上加密地址的做法已经不太可行了,尽管这种方法可以起到一定的作用.比如让你的老板不能下载.

大伟爱自由 2010-04-21

nginx:防盗链

图片是放在腾讯的服务器上的,腾讯拒绝其它网站的页面访问该资源。一些不良网站为了不增加成本而扩充自己站点内容,经常盗用其他网站的链接。一方面损害了原网站的合法利益,另一方面又加重了服务器的负担

SZStudy 2017-07-19
daidaizhuzhu

daidaizhuzhu

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号