目录
1.屏蔽版本号信息
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf … … http{ server_tokens off; #在http下面手动添加这么一行(屏蔽版本信息) … … } [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload [root@proxy ~]# curl -I http://192.168.4.5 #查看服务器响应的头部信息(加I只看头部信息)
2. 限制并发量
DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态
Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险,操作方法如下:(拒绝服务攻击)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf … … http{ … … limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;#开启限制,谁访问就记住,每秒只能发一个请求) server { listen 80; server_name localhost; limit_req zone=one burst=5; } } [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload 客户端使用ab测试软件测试效果: [root@client ~]# ab -c 100 -n 100 http://192.168.4.5/#limit_req_zone语法格式如下:
#limit_req_zone key zone=name:size rate=rate;
#上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
#1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
#每秒中仅接受1个请求,多余的放入漏斗
#漏斗超过5个则报错
3.拒绝非法的请求
网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post
具体HTTP请求方法的含义
未修改服务器配置前,客户端使用不同请求方法测试
root@client ~]# curl -i -X GET http://192.168.4.5 #正常 [root@client ~]# curl -i -X HEAD http://192.168.4.5 #正常#curl命令选项说明:
#-I只显示头部
#-i选项:访问服务器页面时,显示HTTP的头部信息于下在内容
#-X选项:指定请求服务器的方法
通过如下设置可以让Nginx拒绝非法的请求方法
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf http{ server { listen 80; #这里,!符号表示对正则取反,~符号是正则匹配符号 #如果用户使用非GET或POST方法访问网站,则retrun返回错误信息 if ($request_method !~ ^(GET|POST)$ ) { return 444; } } } [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload 修改服务器配置后,客户端使用不同请求方法测试: [root@client ~]# curl -i -X GET http://192.168.4.5 #正常 [root@client ~]# curl -i -X HEAD http://192.168.4.5 #报错
4. 防止buffer溢出
当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。 如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf http{ client_body_buffer_size 1k; client_header_buffer_size 1k; client_max_body_size 1k; large_client_header_buffers 2 1k; … … } [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
4523
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
