nginx优化之--慢连接攻击应…

来源：互联网发布：数据库模型设计工具编辑：程序博客网时间：2024/06/10 12:59

原文地址：nginx优化之--慢连接攻击应对作者：张帆

CC攻击针对的是服务器上面的内存和CPU资源，因此通常会找到一些比较高消耗的接口，例如search.php之类的需要大量sql查询的接口。因此，明白了这一点，我们就很好防御了，主要是针对单个ip地址的连接数和请求php文件的密度来控制的。

我们主要用到的是Nginx中提供的两个limit模块：

1 ngx_http_limit_conn_module

2 ngx_http_limit_req_module

一、白名单

首先这两个模块是支持白名单的，就是可能有某些IP地址，我们是不需要进行限制的，比如可能会是搜索引擎啦什么的或者自己的IP，因此需要设置一个白名单,不需要的可跳过本步。具体方法：

在HTTP段中插入如下格式内容，声明白名单IP

3 http{

4 .......

5 geo $limited{

6 default 1;

7 #公司

8 119.123.5.0/24 0;

9 }

10 .........

11 }

geo指令定义了一个白名单$limited变量，默认值为1，如果客户端IP在上面的范围内，$limited的值为0。

然后紧跟在上面内容后使用map指令映射搜索引擎客户端的ip为空串，如果不是白名单IP就显示本身真实的IP，这样搜索引擎iIP就不能存到limit模块的内存session中，所以不会限制白名单的IP访问。

12 map $limited $limit {

13 1 $binary_remote_addr;

14 0 "";

15 }

二、访问频率限制

访问频率限制使用到的是ngx_http_limit_req_module，需要在两个地方配置，首先在HTTP段中，声明好这个模块一些参数，如果有设置白名单，设置如下

16 http{

17 ...

18 limit_req_zone $limit zone=one:10m rate=20r/m; ##平均20r/m 每分钟20个请求

19 ...

20 }

如果没有配置白名单，所有来访IP都会限制，配置如下

21 http{

22 ...

23 limit_req_zone $binary_remote_addr zone=one:10m rate=20r/m; ##平均20r/m 每分钟20个请求

24 ...

25 }

解释一下上面的参数，第一个代表的是需要限制的ip群，这个很好理解，第二个zone=one表示这个limit_zone的名字叫做one，后面的使用中可以用这个one来进行指代，后面的15m，代表为这个zone分配10m的内存，1m可以保存16000的$binary_remote_addr。最后一个是频率，如果要按秒来算可以设置20r/s这样。

最后是配置到Nginx的php的解析段

26 location ~ .php$ {

27 ...

28 limit_req zone=one burst=5 nodelay;

29 ...

30 }

指定了使用名字为one的zone，然后缓冲队列为5，无延迟，如果不设置无延迟，访问会卡住。

三、访问连接限制

访问连接限制使用到的是ngx_http_limit_conn_module，也是需要在两个地方配置，首先在HTTP段中，声明好这个模块一些参数，如果有设置白名单，设置如下

31 http{

32 ...

33 limit_conn_zone $limit zone=addr:10m;

34 ...

35 }

如果没有配置白名单，所有来访IP都会限制，配置如下

36 view sourceprint?http{

37 ...

38 limit_conn_zone $binary_remote_addr zone=addr:10m;

39 ...

40 }

参数的意思跟上面的差不多也就不多解释了。

后面的就是在server段中进行设置了，可以具体到某个目录什么的了

41 server {

42 location /download/ {

43 limit_conn addr 5;

44 }

大功告成，打完收工，记得要nginx -s reload一下.

0 0