首頁 > 其他

nginx 串連限制新文法

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

標籤:nginx 限制

如何設定能限制某個IP某一時間段的訪問次數是一個讓人頭疼的問題,特別面對惡意的ddos攻擊的時候。其中CC攻擊(Challenge Collapsar)是DDOS(分散式阻斷服務)的一種,也是一種常見的網站攻擊方法,攻擊者通過Proxy 伺服器或者肉雞向向受害主機不停地發大量資料包,造成對方伺服器資源耗盡,一直到宕機崩潰。

cc攻擊一般就是使用有限的ip數對伺服器頻繁發送資料來達到攻擊的目的,nginx可以通過HttpLimitReqModul和HttpLimitZoneModule配置來限制ip在同一時間段的訪問次數來防cc攻擊。


HttpLimitReqModul用來限制連單位時間內串連數的模組,使用limit_req_zone和limit_req指令配合使用來達到限制。一旦並發串連超過指定數量,就會返回503錯誤。

HttpLimitConnModul用來限制單個ip的並發串連數,使用limit_zone和limit_conn指令


這兩個模組的區別前一個是對一段時間內的串連數限制,後者是對同一時刻的串連數限制


HttpLimitReqModul 限制某一段時間內同一ip訪問數執行個體

http {

    .....

    #定義一個名為allips的limit_req_zone用來儲存session,大小是10M記憶體,

    #以$binary_remote_addr 為key,限制平均每秒的請求為1個,

    #1M能儲存16000個狀態,rete的值必須為整數,

    #如果限制兩秒鐘一個請求,可以設定成60r/m

    limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;

    #limit_conn_zone $binary_remote_addr zone=one:10m;


    ## Log Format ###

    log_format  main  ‘$remote_addr $host $remote_user [$time_local] "$request" ‘

                      ‘$status $body_bytes_sent "$http_referer" "$http_user_agent" "$gzip_ratio"‘;

    server {

        listen       80;

        server_name  ckl.zab.com;


        location / {

            root   /opt/wwwroot/zabbix;

            index  index.html index.php index.htm test.php;

        }


        location ~ \.php$ {

            root           /opt/wwwroot/zabbix;

            fastcgi_pass   127.0.0.1:9000;

            fastcgi_index  index.php;

            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;

            include        fastcgi_params;

   #限制每ip每秒不超過20個請求,漏桶數burst為5

            #brust的意思就是,如果第1秒、2,3,4秒請求為19個,

            #第5秒的請求為25個是被允許的。

            #但是如果你第1秒就25個請求,第2秒超過20的請求返回503錯誤。

            #nodelay,如果不設定該選項,嚴格使用平均速率限制請求數,

            #第1秒25個請求時,5個請求放到第2秒執行,

            #設定nodelay,25個請求將在第1秒執行。

            limit_req zone=allips burst=5 nodelay;

       }


    }


 測試:

 /opt/abtmp/usr/bin/ab -n 10 -c 10 http://127.0.0.1/test.php

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 200 11 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:10:29 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"


每秒限制一個,超過503



 HttpLimitZoneModule 限制並發串連數執行個體

limit_zone只能定義在http範圍,limit_conn可以定義在http server location範圍

http {

    .....

    #定義一個名為one的limit_zone,大小10M記憶體來儲存session,

    #以$binary_remote_addr 為key

    #nginx 1.18以後用limit_conn_zone替換了limit_conn

    #且只能放在http範圍

    limit_conn_zone $binary_remote_addr zone=one:10m;


    ## Log Format ###

    log_format  main  ‘$remote_addr $host $remote_user [$time_local] "$request" ‘

                      ‘$status $body_bytes_sent "$http_referer" "$http_user_agent" "$gzip_ratio"‘;

    server {

        listen       80;

        server_name  ckl.zab.com;


        location / {

            root   /opt/wwwroot/zabbix;

            index  index.html index.php index.htm test.php;

        }


        location ~ \.php$ {

            root           /opt/wwwroot/zabbix;

            fastcgi_pass   127.0.0.1:9000;

            fastcgi_index  index.php;

            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;

            include        fastcgi_params;

   #串連限制為5

            limit_conn one 5;

   #頻寬節流設定,對單個串連限數,如果一個ip兩個串連,就是500x2k

            limit_rate 300k;

       }


    }

}

 測試:

 /opt/abtmp/usr/bin/ab -n 10 -c 10 http://127.0.0.1/test.php

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 200 11 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 200 11 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 200 11 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 200 11 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 200 11 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

127.0.0.1 - - [27/Dec/2014:23:08:05 +0800] "GET /test.php HTTP/1.0" 503 206 "-" "ApacheBench/2.3"

每秒的限制為5,超過503


本文出自 “營運菜鳥” 部落格,請務必保留此出處http://ckl893.blog.51cto.com/8827818/1682248

nginx 串連限制新文法

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More