设为首页收藏本站
开启辅助访问

网站nginx配置限制单个IP访问频率,预防DDOS恶意攻击

 您所在的位置:网站首页 nginx配置访问白名单ip 网站nginx配置限制单个IP访问频率,预防DDOS恶意攻击

网站nginx配置限制单个IP访问频率,预防DDOS恶意攻击

2024-07-15 18:09| 来源: 网络整理| 查看: 265

一、简介

对于网站来说,尤其是流量较大出名的网站,经常遇到攻击,如DDOS攻击等,虽然有些第三方,如Cloudflare可以挡,但对于动态网站PHP来说,只能挡一部分。这时候需要对于单个IP恶意攻击做出限流。nginx的两个模块可以限流。

nginx两个限流模块: 连接频率限制,ngx_http_limit_conn_module:官方文档 请求频率限制,ngx_http_limit_req_module:官方文档

二、两者模块区别

首先理解请求和连接,HTTP请求建立在一次TCP连接基础上, 一次TCP连接至少产生一次HTTP请求(1次或多次)

网上理论很多,根据名字可知:

connection是连接,即常说的tcp连接,通过三次握手而建立的一个完整状态机。建立一个连接,必须得要三次握手。request是指请求,即http请求,tcp连接是有状态的,而构建在tcp之上的http却是无状态的协议。

当然还是看不懂的话,通俗点讲(相对于时间比较):

limit_req_zone,在有限的时间内限制,单个IP每秒或者每分钟只能发出多少请求。多的一概不理会。limit_conn_zone,不限时间,只允许单个IP这么多个连接,或者称为并发。如:设置10个连接,第11个连接时,必须等前面有一个已经完成或者释放后,这个连接才能允许。

比如秒杀,抢购,连接频率限制和请求频率限制应该配合使用 , 使用连接频率限制同一IP同时只能有3个连接, 再使用请求频率限制对于同一ip的请求,限制平均速率为5个请求/秒 , 这样比单独只使用一种限制要好很多。

比如只使用请求频率限制 , 可以精确的限制同一ip1秒只能发起5次的http请求 , 假如同一ip1秒内发起了100000次请求 , 虽然限制了只有5次成功响应 , 但是其他的99995次的请求TCP握手建立http连接是不是会消耗服务器资源? 所以还需要配合使用。

三、配置 1、limit_req_zone,示例: http{ limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s; #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存, #以$binary_remote_addr 为key,限制平均每秒的请求为20个, #1M能存储16000个状态,rete的值必须为整数, #如果限制两秒钟一个请求,可以设置成30r/m server{ location / { #限制每ip每秒不超过20个请求,漏桶数burst为5 #brust的意思就是,如果第1秒、2,3,4秒请求为19个, #第5秒的请求为25个是被允许的。 #但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。 #nodelay,如果不设置该选项,严格使用平均速率限制请求数, #第1秒25个请求时,5个请求放到第2秒执行, #设置nodelay,25个请求将在第1秒执行。 limit_req zone=allips burst=5 nodelay; } } } 2、limit_conn_zone,示例: http { limit_conn_zone $binary_remote_addr zone=addr:10m; #定义一个名为addr的limit_req_zone用来存储session,大小是10M内存, #以$binary_remote_addr 为key #nginx 1.18以后用limit_conn_zone替换了limit_conn, #且只能放在http{}代码段. server { location / { limit_conn addr 10;   #连接数限制,并发数 #设置给定键值的共享内存区域和允许的最大连接数。超出此限制时,服务器将返回503(服务临时不可用)错误.        #如果区域存储空间不足,服务器将返回503(服务临时不可用)错误 } } } 3、搭配一起使用 http { ... ... limit_req_zone $binary_remote_addr zone=req_zone:1m rate=20r/s; #限制连接请求设置,访问内存10M,所有访问ip 限制每秒10个请求 limit_conn_zone $binary_remote_addr zone=addr:10m; #限制连接IP设置 ... ... server { listen 80; server_name ywbj.cc; location / { ... limit_req zone=req_zone burst=5 nodelay; limit_conn addr 5; ... } } } 四、压力测试工具 1、ab命令

ab是apache自带的压力测试工具。一般不用额外安装,ab非常实用,它不仅可以对apache服务器进行网站访问压力测试,也可以对或其它类型的服务器进行压力测试。比如nginx、tomcat、IIS等。

测试命令

ab -c 10 -n 100 https://ywbj.cc/ #-c10表示并发用户数为10 #-n100表示请求总数为100 2、wrk命令

需自己安装,地址:https://github.com/wg/wrk

安装

git clone [email protected]:wg/wrk.git #或者自己下载解压 cd wrk #进入目录 make #make编译后在目录可使用wrk命令,先安装make,unzip这些工具。

测试命令:

wrk -t12 -c100 -d30s https://ywbj.cc #12线程,100连接,30s时间

还有其他压测工具,自行研究



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3