前言

Nginx是一款輕量級(jí)的Web服務(wù)器，由俄羅斯的程序設(shè)計(jì)師Igor Sysoev所開發(fā)，最初供俄國(guó)大型的入口網(wǎng)站及搜尋引Rambler使用。 其特點(diǎn)是占有內(nèi)存少，并發(fā)能力強(qiáng)，事實(shí)上Nginx的并發(fā)能力確實(shí)在同類型的網(wǎng)站服務(wù)器中表現(xiàn)較好。

防御DDOS是一個(gè)系統(tǒng)工程，攻擊花樣多，防御的成本高瓶頸多，防御起來即被動(dòng)又無奈。DDOS的 特點(diǎn)是分布式，針對(duì)帶寬和服務(wù)攻擊，也就是四層流量攻擊和七層應(yīng)用攻擊，相應(yīng)的防御瓶頸四層在帶寬，七層的多在架構(gòu)的吞吐量。對(duì)于七層的應(yīng)用攻擊，我們還 是可以做一些配置來防御的，例如前端是Nginx，主要使用nginx的http_limit_conn和http_limit_req模塊來防御。 ngx_http_limit_conn_module 可以限制單個(gè)IP的連接數(shù)，ngx_http_limit_req_module 可以限制單個(gè)IP每秒請(qǐng)求數(shù)，通過限制連接數(shù)和請(qǐng)求數(shù)能相對(duì)有效的防御CC攻擊。

下面這篇文章主要給大家介紹了關(guān)于Nginx防御DDOS攻擊的配置方法，分享出來供打擊參考學(xué)習(xí)，下面來一起看看詳細(xì)的介紹：

下面是配置方法：

一. 限制每秒請(qǐng)求數(shù)

ngx_http_limit_req_module模塊通過漏桶原理來限制單位時(shí)間內(nèi)的請(qǐng)求數(shù)，一旦單位時(shí)間內(nèi)請(qǐng)求數(shù)超過限制，就會(huì)返回503錯(cuò)誤。配置需要在兩個(gè)地方設(shè)置：

nginx.conf的http段內(nèi)定義觸發(fā)條件，可以有多個(gè)條件

在location內(nèi)定義達(dá)到觸發(fā)條件時(shí)nginx所要執(zhí)行的動(dòng)作

例如：

http {  limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //觸發(fā)條件，所有訪問ip 限制每秒10個(gè)請(qǐng)求  ...  server {   ...   location ~ /.php$ {    limit_req zone=one burst=5 nodelay; //執(zhí)行的動(dòng)作,通過zone名字對(duì)應(yīng)     }    }   } 

參數(shù)說明：

二.限制IP連接數(shù)

ngx_http_limit_conn_module的配置方法和參數(shù)與http_limit_req模塊很像，參數(shù)少，要簡(jiǎn)單很多

http {  limit_conn_zone $binary_remote_addr zone=addr:10m; //觸發(fā)條件  ...  server {   ...   location /download/ {    limit_conn addr 1; // 限制同一時(shí)間內(nèi)1個(gè)連接，超出的連接返回503     }    }  } 

三.白名單設(shè)置

http_limit_conn 和http_limit_req模塊限制了單ip單位時(shí)間內(nèi)的并發(fā)和請(qǐng)求數(shù)，但是如果Nginx前面有l(wèi)vs或者h(yuǎn)aproxy之類的負(fù)載均衡或者反向代 理，nginx獲取的都是來自負(fù)載均衡的連接或請(qǐng)求，這時(shí)不應(yīng)該限制負(fù)載均衡的連接和請(qǐng)求，就需要geo和map模塊設(shè)置白名單：