DDOS 是一種通過大流量的請求對目標進行轟炸式訪問，導致提供服務的服務器資源耗盡進而無法繼續提供服務的攻擊手段。

一般情況下，攻擊者通過大量請求與連接使服務器處于飽和狀態，以至于無法接受新的請求或變得很慢。

一、應用層DDOS攻擊的特征

應用層(七層/HTTP層)DDOS 攻擊通常由木馬程序發起，其可以通過設計更好的利用目標系統的脆弱點。例如，對于無法處理大量并發請求的系統，僅僅通過建立大量的連接，并周期性的發出少量數據包來保持會話就可以耗盡系統的資源，使其無法接受新的連接請求達到 DDOS 的目的。其他還有采用發送大量連接請求發送大數據包的請求進行攻擊的形式。因為攻擊是由木馬程序發起，攻擊者可以在很短時間內快速建立大量的連接，并發出大量的請求。

以下是一些DDOS的特證，我們可以據此特征來抵抗 DDOS(包括但不限于)：

攻擊經常來源于一些相對固定的 IP 或 IP 段，每個 IP 都有遠大于真實用戶的連接數和請求數。(備注：這并不表明這種請求都是代表著 DDOS 攻擊。在很多使用NAT的網絡架構中，很多的客戶端使用網關的 IP 地址訪問公網資源。但是，即便如此，這樣的請求數和連接數也會遠少于 DDOS 攻擊。) 因為攻擊是由木馬發出且目的是使服務器超負荷，請求的頻率會遠遠超過正常人的請求。 User-Agent 通常是一個非標準的值 Referer 有時是一個容易聯想到攻擊的值

二、使用Nginx、Nginx Plus抵抗DDOS攻擊

結合上面提到的 DDOS 攻擊的特征，Nginx、Nginx Plus有很多的特性可以用來有效的防御 DDOS 攻擊，可以從調整入口訪問流量和控制反向代理到后端服務器的流量兩個方面來達到抵御 DDOS 攻擊的目的。

1. 限制請求速度

設置 Nginx、Nginx Plus 的連接請求在一個真實用戶請求的合理范圍內。比如，如果你覺得一個正常用戶每兩秒可以請求一次登錄頁面，你就可以設置 Nginx 每兩秒鐘接收一個客戶端 IP 的請求(大約等同于每分鐘30個請求)。

limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m; server { ... location /login.html { limit_req zone=one; ... } } 

`limit_req_zone` 命令設置了一個叫 one 的共享內存區來存儲請求狀態的特定鍵值，在上面的例子中是客戶端 IP($binary_remote_addr)。location 塊中的 `limit_req` 通過引用 one 共享內存區來實現限制訪問 /login.html 的目的。

2. 限制連接數量

設置 Nginx、Nginx Plus 的連接數在一個真實用戶請求的合理范圍內。比如，你可以設置每個客戶端 IP 連接 /store 不可以超過10個。