nginx防DDos

最新推荐文章于 2024-05-20 10:01:43 发布
最新推荐文章于 2024-05-20 10:01:43 发布
阅读量1.2k 收藏
点赞数
分类专栏: nginx

nginx 上有两个限制连接的模块一个是 limit_zone 另一个是 limie_req_zone,两个都可以限制连接,但具体有什么不同呢?
下面是 nginx 官网上给的解释
limit_req_zone
Limit frequency of connections from a client.
This module allows you to limit the number of requests for a given session, or as a special case, with one address.
Restriction done using leaky bucket.

limit_zone
Limit simultaneous connections from a client.
This module makes it possible to limit the number of simultaneous connections for the assigned session or as a special case, from one address.

按照字面的理解,lit_req_zone的功能是通过 令牌桶原理来限制 用户的连接频率,(这个模块允许你去限制单个地址 指定会话或特殊需要 的请求数 )
而 limit_zone 功能是限制一个客户端的并发连接数。(这个模块可以限制单个地址 的指定会话 或者特殊情况的并发连接数)
一个是限制并发连接一个是限制连接频率,表面上似乎看不出来有什么区别,那就看看实际的效果吧~~~
在我的测试机上面加上这两个参数下面是我的部分配置文件
http{
limit_zone one  $binary_remote_addr  10m;
#limit_req_zone  $binary_remote_addr  zone=req_one:10m rate=1r/s;
server
{
......
limit_conn   one  1;
#limit_req   zone=req_one  burst=120;
......
}
}

解释一下 limit_zone one  $binary_remote_addr  10m;
这里的 one 是声明一个 limit_zone 的名字,$binary_remote_addr是替代 $remore_addr 的变量,10m 是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1
先测试 limit_zone 这个模块
我找一台机器 用ab 来测试一下 命令格式为
ab -c 100 -t 10 http://192.168.6.26/test.php

test.php 内容是phpinfo
看看日志里的访问


似乎随着数量的增多效果也会发生一些变化,并不是完全达到模块说明中的效果
看看当前的tcp连接数
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 29
FIN_WAIT1 152
FIN_WAIT2 2
ESTABLISHED 26
SYN_RECV 16

这次测试下 limit_req_zone,配置文件稍微改动一下
http{
#limit_zone one  $binary_remote_addr  10m;
limit_req_zone  $binary_remote_addr  zone=req_one:10m rate=1r/s;
server
{
......
#limit_conn   one  1;
limit_req   zone=req_one  burst=120;
......
}
}
restart 一下 nginx
简单说明一下, rate=1r/s 的意思是每个地址每秒只能请求一次,也就是说根据令牌桶(经过网友冰冰的指正应该是漏桶原理)原理 burst=120 一共有120块令牌,并且每秒钟只新增1块令牌,
120块令牌发完后 多出来的那些请求就会返回503
测试一下
ab -c 100 -t 10 http://192.168.6.26/test.php
看看这时候的访问日志

确实是每秒请求一次,那多测试一会儿呢?把时间从10秒增加到30秒


这个时候应该是120 已经不够用了,出现很多503,还有两种情况会出现,请看图


客户端自己等不及断开了,返回499
看看当前的tcp连接数
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 51
FIN_WAIT1 5
ESTABLISHED 155
SYN_RECV 12

虽然这样会让nginx 一秒钟只处理一个请求,但是仍然会有很多还在队列里面等待处理,这样也会占用很多tcp连接,从上面那条命令的结果中就能看得出来。
如果这样呢
limit_req   zone=req_one  burst=120 nodelay;
加上 nodelay之后超过 burst大小的请求就会直接 返回503,如图

<a href="http://blog.goyiyo.com/wp-content/uploads/2014/03/7.jpg" class="cboxElement" rel="example4" 1941"="" style="text-decoration: none; color: rgb(1, 150, 227);">

也是每秒处理1个请求,但多出来的请求没有象刚才那样等待处理,而是直接返回503。
当前的tcp连接
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 30
FIN_WAIT1 15
SYN_SENT 7
FIN_WAIT2 1
ESTABLISHED 40
SYN_RECV 37


2.        被动防御

虽然主动防御已经抵挡了大多数HTTP GET FLOOD攻击,但是道高一尺魔高一丈,攻击者会总会找到你薄弱的环节进行攻击。所以我们在这里也要介绍一下被动防御的一些方法。
1)        封IP地址
访问者通过浏览器正常访问网站,与服务器建立的连接一般不会超过20个,我们可以通过脚本禁止连接数过大的IP访问。
以下脚本通过netstat命令列举所有连接,将连接数最高的一个IP如果连接数超过150,则通过 iptables阻止访问:
#!/bin/sh
status=`netstat -na|awk '$5 ~ /[0-9]+:[0-9]+/ {print $5}' |awk -F ":" -- '{print $1}' |sort -n|uniq -c |sort -n|tail -n 1`
NUM=`echo $status|awk '{print $1}'`
IP=`echo $status|awk '{print $2}'`
result=`echo "$NUM > 150" | bc`
if [ $result = 1 ]
then
echo IP:$IP is over $NUM, BAN IT!
/sbin/iptables -I INPUT -s $IP -j DROP
fi

运行crontab -e,将上述脚本添加到crontab每分钟自动运行:
* * * * * /root/xxxx.sh
通过apache自带的ab工具进行服务器压力测试:
ab -n 1000 -c 100 http://www.xxx.com/bbs/index.php
测试完成后,我们就可以看到系统中有IP被封的提示:
[root@xxxxxx ~]#tail /var/spool/mail/root
Content-Type: text/plain; charset=ANSI_X3.4-1968
Auto-Submitted: auto-generated
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <;PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>

IP:58.246.xx.xx is over 1047, BAN IT!
至此,又一次HTTP GET FLOOD防御成功。

2)        根据特征码屏蔽请求(对CC攻击效果较好)
一般同一种CC攻击工具发起的攻击请求包总是相同的,而且和正常请求有所差异。
当服务器遭遇CC攻击时,我们可以快速查看日志,分析其请求的特征,比如User-agent。下面的是某一次CC攻击时的User-agent
Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate
几乎没有正常的浏览器会在User-agent中带上“must-revalidate”这样的关键字。所以我们可以以这个为特征进行过滤,将User-agent中带有“must-revalidate”的请求全部拒绝访问:
if ($http_user_agent ~ must-revalidate) {
return 403;
}

本文主要介绍了nginx下的HTTP GET FLOOD防御,如果有不对的地方,希望大家可以向我提出。同时,也希望大家能够举一反三,把这种思路应用到apache、lighttpd等常见的web服务器中。


kunatnet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx避免DDos攻击
zzhongcy的专栏
03-22 9384
分布式拒绝服务攻击(DDoS)指的是通过多台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞、资源耗尽从而不能为正常用户提供正常服务的攻击手段。随着互联网带宽的增加和相关工具的不断发布,这种攻击的实施难度越来越低,有大量IDC托管机房、商业站点、游戏服务商一直饱受DDoS攻击的困扰,那么如何缓解甚至解决DDoS呢?最近Rick Nelson在Nginx的官方博客上发表了一篇文...
nginx如何DDOS攻击(针对WEB服务器和数据库服务器)1
08-08
Nginx DDoS 攻击】 在互联网环境中,分布式拒绝服务(DDoS)攻击是常见的安全威胁,针对Web服务器和数据库服务器的护尤为重要。Nginx,作为一个高效的反向代理和负载均衡器,可以通过多种策略来帮助抵挡...
针对用nginxddos攻击策略
weixin_54632015的博客
01-19 742
nginxddos策略 1.脚本御 使用ab进行压力测试,并通过脚本获取访问日志中访问量前3的IP地址 模拟20人发起2000次访问 ab -c 20 -n 2000 http://192.168.189.161/ 查询目前nginx日志中访问次数排行前3的IP地址 awk '{print $1 }' /usr/local/nginx/logs/access.log | sort | uniq -c | sort -nr | head -n 3 将IP地址取出后使用iptables封锁
如何配置NginxDDoS攻击?
最新发布
长风破浪会有时的博客
05-20 328
想象一下,如果有一大群坏孩子(恶意电脑)同时给你家的门铃按个不停,你的家人(服务器)就无法正常进出家门了。这就是DDoS攻击的效果,它会让服务器忙于应对大量的虚假请求,而无法处理真正的用户请求。这些配置可以帮助你的Nginx服务器更好地应对DDoS攻击,但请记住,DDoS攻击是非常复杂的,可能需要更多的安全措施来完全保护你的服务器。而且,这些配置也可能会影响正常用户的体验,所以在设置限制时要小心谨慎。Nginx是一个非常强大的服务器软件,它有一些特殊的配置可以帮助我们阻挡这些坏孩子的捣乱。
关于nginxDDOS攻击浅谈
hdxx2022的博客
03-01 345
ngx_http_limit_conn_module 可以限制单个IP的连接数,ngx_http_limit_req_module 可以限制单个IP每秒请求数,通过限制连接数和请求数能相对有效的御CC攻击。burst=5 允许超过频率限制的请求数不多于5个,假设1、2、3、4秒请求为每秒9个,那么第5秒内请求15个是允许的,反之,如果第一秒内请求15个,会将5个请求放到第二秒,第二秒内超过10的请求直接503,类似多秒内平均速率限制。// 限制同一时间内1个连接,超出的连接返回503。
Nginx攻击护、CC护、止SQL注入、XSS的实践配置方法
云博客_资源宝分享
02-13 9564
Nginx攻击护、CC护、止SQL注入、XSS的实践配置方法
NginxDDOS攻击的配置方法教程
09-30
本文将详细介绍如何通过Nginx的配置来DDoS攻击。 首先,DDoS攻击分为四层流量攻击和七层应用攻击。四层攻击主要针对网络层的带宽,而七层攻击则针对应用程序的处理能力。Nginx作为应用服务器,主要关注七层御...
Nginx教程 ddos,用户访问控制,限流.zip
01-09
**Nginx 教程:DDoS、用户访问控制与限流** Nginx是一款高性能的HTTP和反向代理服务器,广泛应用于Web服务领域,以其高效、稳定和灵活的配置而闻名。本教程将围绕如何利用Nginx进行DDoS御、用户访问控制以及...
ddos攻击
08-01
DDoS(Distributed Denial of Service)攻击是网络世界中的一种常见威胁,它通过大量恶意流量淹没目标服务器,导致正常用户无法访问服务。在Linux环境下,范CC(Challenge Collapsar)这种特定类型的DDoS攻击是一...
配置Nginx实现简单御cc攻击
01-11
ddos攻击:分布式拒绝服务攻击,就是利用大量肉鸡或伪造IP,发起大量的服务器请求,最后导致服务器瘫痪的攻击。 cc攻击:类似于ddos攻击,不过它的特点是主要是发起大量页面请求,所以流量不大,但是却能导致页面...
网站服务器主动御工具 v1.0
03-12
软件介绍 关联网站服务器主动御工具是网站的保护神,保护您的网站受到攻击后会自动修复,备份网站数据,保证网站正常运行! Tags: 网站服务器主动御 服务器主动御 网站主动御 网站御 主动
nginx相关反爬策略总结笔记
dzqxwzoe的博客
03-02 1865
主要是根据检测结果展开的,如利用HTTP请求头User-Agent来判断、拦截爬虫请求,或对访问频率过高的IP地址进行封禁。被动御存在部分缺陷:被动御检测流程和机制单一,无法应对复杂多变的恶意爬虫,检测误判率高,容易造成误封、漏封。是主流的爬虫御发展方向,通过对网页底层代码的持续动态变换,增加服务器行为的“不可预测性”,大幅提升攻击难度,从而实现了从客户端到服务器端的全方位“主动护”。本文中所提到的关于nginx的一些操作,都属于被动御机制。
NginxDDOS攻击
三弦的回忆
11-08 2070
DDOS是一个系统工程,攻击花样多,御的成本高瓶颈多,御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来御。
使用NginxNginx Plus抵御DDOS攻击
weixin_30725467的博客
10-18 593
原创2015-10-16陈洋运维帮 DDOS是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法接受新的请求或变得很慢。 应用层DDOS攻击的特征 应用层(七层/HTTP层)DDOS攻击通常由木马程序发起,其可以通过设计更好的利用目...
解密Nginx限流机制:有效应对DDoS攻击与高并发流量
todoitbo的博客
04-10 1042
本文将深入探讨Nginx限流的原理、实现方式以及应用场景。我们将介绍如何在Nginx中配置限流策略,以保护服务器免受过载和恶意攻击的影响,并提高系统的稳定性和可用性。
nginxDDOS攻击配置
yshir
10-28 631
DDOS是一个系统工程,攻击花样多,御的成本高瓶颈多,御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来御。 ngx_http_...
网站nginx简单配置,预DDOS恶意攻击
yaso1983的博客
12-07 443
ab.exe -n 1000 -c 1000 访问地址(必须http:)主要是上面二篇文章介绍,按步骤设置,亲测好使!发起测试后,服务器状态。
nginx ddos
08-19
为了DDoS(分布式拒绝服务)攻击,可以采取一些措施来保护NGINX服务器。以下是一些常见的御方法: 1. 配置限制连接数:通过设置NGINX配置文件中的`worker_connections`参数来限制同时连接到服务器的客户端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值