Nginx限制访问速率和最大并发连接数模块--limit (防止DDOS攻击)

最新推荐文章于 2024-05-17 13:43:01 发布
最新推荐文章于 2024-05-17 13:43:01 发布
阅读量841 收藏
点赞数
分类专栏: Nginx集群服务器 文章标签: nginx 并发 ddos攻击 java java web

Nginx限制访问速率和最大并发连接数模块–limit (防止DDOS攻击)

Tengine版本采用http_limit_req_module进行限制

具体连接请参考 http://tengine.taobao.org/document_cn/http_limit_req_cn.html

和官方nginx类似,不过支持多个变量,并且支持多个limit_req_zone的设置。比如:

limit_req_zone $binary_remote_addr zone=one:3m rate=1r/s;
limit_req_zone $binary_remote_addr $uri zone=two:3m rate=1r/s;               # $uri:不带客户端请求参数
limit_req_zone $binary_remote_addr $request_uri zone=thre:3m rate=1r/s;      # $request_uri:带客户端请求
 
 
  • 1
  • 2
  • 3

参数

上面的第二个指令表示当相同的ip地址并且访问相同的uri,会导致进入limit req的限制(每秒1个请求)。

Nginx官方版本限制IP的连接和并发分别有两个模块: 
点击以下超链接可查看对应模块的官方详细介绍 
limit_req_zone 用来限制单位时间内的请求数,即速率限制,采用的漏桶算法 “leaky bucket” 
limit_req_conn 用来限制同一时间连接数,即并发限制 
其中limit_req_conn模块可以根据源IP限制单用户并发访问的连接数或连接到该服务的总并发连接数

什么是漏桶算法?

我们假设系统是一个漏桶,当请求到达时,就是往漏桶里“加水”,而当请求被处理掉,就是水从漏桶的底部漏出。水漏出的速度是固定的,当“加水”太快,桶就会溢出,也就是“拒绝请求”。从而使得桶里的水的体积不可能超出桶的容量。​主要目的是控制数据注入到网络的速率,平滑网络上的突发流量。漏桶算法提供了一种机制,通过它,突发流量可以被整形以便为网络提供一个稳定的流量。

示例如下:

http {
    limit_conn_log_level error;
    limit_conn_status 503;
    limit_conn_zone $binary_remote_addr zone=one:10m;
    limit_conn_zone $server_name zone=perserver:10m;
    limit_req_zone $binary_remote_addr zone=allips:100m   rate=10r/s;   其中$binary_remote_addr有时需要根据自己已有的log_format变量配置进行替换
    server {
         …………………….
        limit_conn  one  100;                                              
        limit_conn perserver 1000;
        limit_req   zone=allips  burst=5  nodelay;
        ………………….
    }
}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

参数解释:

Zone=one或allips 表示设置了名为“one”或“allips”的存储区,大小为10兆字节 
rate=10r/s 的意思是允许1秒钟不超过10个请求 
burst=5 表示最大延迟请求数量不大于5。 如果太过多的请求被限制延迟是不需要的 ,这时需要使用nodelay参数,服务器会立刻返回503状态码。 
limit_conn one 100表示最大并发连接数100 
limit_conn perserver 1000表示该服务提供的总连接数不得超过1000,超过请求的会被拒绝

示例如下:

http {
    limit_req_zone $binary_remote_addr zone=one:100m   rate=10r/m;
    server {
        …………………….
        …………………….
        limit_req   zone=one  burst=1  nodelay;
        ………………….
    }
}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

rate=10r/m 的意思是允许1秒钟不超过1个请求,最大延迟请求数量不大于5. 
如果请求不需要被延迟,添加nodelay参数,服务器会立刻返回503状态码。如果没有该字段会造成大量的tcp连接请求等待。

http{
    limit_zone one  $binary_remote_addr  10m;
    server
    {
        ......
        limit_conn  one  1;
        ......
    }
}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

这里的 one 是声明一个 limit_zone 的名字,$binary_remote_addr是替代 $remore_addr的变量,10m 是会话状态储存的空间 
limit_conn one 1 ,限制客户端并发连接数量为1, allow only one connection per an IP address at a time(每次).

按照字面的理解,lit_req_zone的功能是通过漏桶原理来限制用户的连接频率,(这个模块允许你去限制单个地址指定会话或特殊需要的请求数 ) 
而 limit_zone 功能是限制一个客户端的并发连接数。(这个模块可以限制单个地址的指定会话或者特殊情况的并发连接数) 
一个是限制并发连接一个是限制连接频率,表面上似乎看不出来有什么区别,那就看看实际的效果吧~~~ 
在我的测试机上面加上这两个参数下面是我的部分配置文件

http{
    limit_zone one  $binary_remote_addr  10m;
    #limit_req_zone  $binary_remote_addr  zone=req_one:10m rate=1r/s;
    server
    {
        ......
        limit_conn   one  1;
        #limit_req   zone=req_one  burst=120;
        ......
    }
}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

解释一下 limit_zone one $binary_remote_addr 10m; 
这里的 one 是声明一个 limit_zone 的名字,$binary_remote_addr是替代 $remore_addr的变量,10m是会话状态储存的空间 
limit_conn one 1 ,限制客户端并发连接数量为1

limit_zone两种工作情况

  1. limit_reqzone=one burst=10 ; 
    i.默认情况下是这样配置的,这样每个请求就会有一个delay时间, 
    limit_req_zone$binary_remote_addr zone=one:100m rate=10r/m; 
    就是每分钟有10个令牌供用户使用,按照a的配置情况,就会有一个delay,每个请求时间就是60/10,那每个请求时间就是6s。
  2. limit_reqzone=one burst=10 nodelay; 
    a). 添加nodelay配置,这样就是根据你的网络状况访问,一分钟访问够10次后,服务器直接返回503。 
    b). Eg:imit_req_zone$binary_remote_addr zone=one:100m rate=10r/m; 
    就是每分钟有10个令牌供用户使用,按照b的配置情况,就会根据网络情况访问url,如果一分钟超过10个令牌,服务器返回503,等待下一个一分钟领取访问令牌。 
    rate=10r/m 的意思是每个地址每分钟只能请求10次,也就是说根据漏桶原理burst=1 一共有1块令牌,并且每分钟只新增10块令牌, 
    1块令牌发完后多出来的那些请求就会返回503 
    加上 nodelay之后超过 burst大小的请求就会直接返回503,如果没有该字段会造成大量的tcp连接请求等待。
http{
    ...
    #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
    #以$binary_remote_addr 为key,限制平均每秒的请求为20个,
    #1M能存储16000个状态,rete的值必须为整数,
    #如果限制两秒钟一个请求,可以设置成30r/m
    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    ...
    server{
        ...
        location {
            ...
            #限制每ip每秒不超过20个请求,漏桶数burst为5
            #brust的意思就是,如果第1秒、2,3,4秒请求为19个,
            #第5秒的请求为25个是被允许的。
            #但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。
            #nodelay,如果不设置该选项,严格使用平均速率限制请求数,
            #第1秒25个请求时,5个请求放到第2秒执行,
            #设置nodelay,25个请求将在第1秒执行。
            limit_req zone=allips burst=5 nodelay;
            ...
        }
        ...
    }
    ...
}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26

限制下载速度:

location /download { 
    limit_rate 128k; 
  } 
 
 
  • 1
  • 2
  • 3

如果想设置用户下载文件的前10m大小时不限速,大于10m后再以128kb/s限速可以增加以下配内容,修改nginx.conf文件

location /download { 
       limit_rate_after 10m; 
       limit_rate 128k; 
 }  
 
 
  • 1
  • 2
  • 3
  • 4

转载自http://www.cnblogs.com/wjoyxt/p/6128183.html

蔡吉奏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过nginx代理拦截请求进行全局访问限制
01-10
本文介绍了通过nginx代理拦截请求进行全局访问限制,分享给大家,具体如下: 运行环境: Ubantu 14.0  tomcat7  nginx 1.4.6(更新后1.5.6) 项目中经常会用到权限管理,必然的就会存在权限的设定和验证;对于登陆或者模块的权限设定验证,在项目中直接实现;那么问题出现了 1.访问资源文件 2.多项目访问权限 3.tomcat中虚拟目录的访问权限 公司项目中用到文件的上传下载,在线预览等功能;当然用户在使用的时候,我们不可能把用户的上传的文件放在项目中,那么必然会用到 虚拟目录来映射文件的位置,或者说跨域夸项目;如果没有对这些进行一个访问的权限的限制,那
php限制ip访问次数 并发_nginx限制某个IP同一时间段的访问次数
weixin_39755218的博客
12-20 417
如何设置能限制某个IP某一时间段的访问次数是一个让人头疼的问题,特别面对恶意的ddos攻击的时候。其中CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。cc攻击一般就是使用有限的ip数对服务器频繁发送数据来达到攻击的目的,nginx可以...
nginx 配置文件详细介绍
wyq2070857323的博客
02-23 1131
我们 可以改变 默认的错误页面,同时也可以用指定的响应状态码进行响应, 可用位置:http, server, location, if in location但是有些流氓浏览器 会劫持你的网站,当出现404时,没等到你把客户机引导到 自定义的页面,就被劫持了。所以需要改状态码ngx_http_autoindex_module 模块处理以斜杠字符 "/" 结尾的请求,并生成目录列表,可以做为下载服务。
Nginx抗Ddos,访问控制,限速limit_conn, limit_req
m0_67505824的博客
03-16 312
Nginx访问控制 —— deny_allow Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。 除非在安装时有指定 --without-http_access_module。 语法:allow/deny address | CIDR | unix: | all 它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。 注意:unix在1.5.1中新加入的功能。 在nginx中,
nginx最大并发量_Nginx限制访问速率最大并发连接数模块--limit (防范DDOS攻击)...
weixin_29056145的博客
12-24 386
Tengine版本采用http_limit_req_module进行限制具体连接请参考http://tengine.taobao.org/document_cn/http_limit_req_cn.html和官方nginx类似,不过支持多个变量,并且支持多个limit_req_zone的设置。比如:limit_req_zone $binary_remote_addr zone=one:3m ra...
Nginx限制访问速率最大并发连接数模块--limit (防止DDOS***)
weixin_34256074的博客
03-03 82
一.Tengine版本采用http_limit_req_module进行限制 具体连接请参考 http://tengine.taobao.org/document_cn/http_limit_req_cn.html 和官方nginx类似,不过支持多个变量,并且支持多个limit_req_zone的设置。比如: l<br/>imit_req_zone $binary_remote_add...
Nginx 如何限制访问频率,下载速率并发连接数的方法
09-29
主要介绍了Nginx 如何限制访问频率,下载速率并发连接数的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nginx 限制ip、并发量、连接数等配置
01-30
nginx 限制ip、并发量、连接数等配置
nginx限制并发连接请求数的方法
09-29
主要介绍了nginx限制并发连接请求数的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Nginx limit 限制访问模块的方法
09-30
本篇文章主要介绍了Nginx limit 限制访问模块的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
jar包增量更新分析
junlaiyan的专栏
05-16 245
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 609
本文主要提供用java实现的拼图小游戏源代码。
c【语言】了解指针,爱上指针(1)
yzqy_的博客
05-16 894
在计算机中,数据是存储在内存中的,cpu从内存中读取数据,为了方便读取数据,内存又被划分为了一个个的内存单元,一个内存单元的大小就是一字节,一字节等于8bit位,我们给内存进行编号,这个编号就是地址,在c语言中给这个地址起了个名字。是的,亲爱的读者你肯定发现了,&a、p和pc输出的地址是一样的,但&a+1与p+1输出的地址是一样的00EFF940,一次都跳过了4字节,而pc+1输出的却是00EFF93D,一次只跳过一个字节。但是硬件与硬件之间是相互独立的,这该如何实现数据传输呢?”答案当然是否定的。
命令执行漏洞(二)
XLbb的博客
05-15 896
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
java数据结构与算法(验证二叉搜索树)
最新发布
磐门的博客
05-17 242
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
Kubernetes 审计日志采集与分析最佳实践
观测云的博客
05-17 1019
​Kubernetes 在 1.7 版本中发布了审计(Audit)日志功能,通过审计日志,我们能够非常清晰的知道 K8S 集群到底发生了什么事情。
java导出excel动态加载多sheet多复杂表头
weixin_43931108的博客
05-14 243
java导出excel动态加载多sheet多复杂表头
Android Model引入其他aar包 导致无法打包成aar
qq_27400335的博客
05-16 340
Android Model引入其他aar包 导致无法打包成aar
nginx设置设置客户端下载的连接并发数(每个IP的连接并发数)
05-25
nginx中可以通过`limit_conn_zone`和`limit_conn`指令来限制客户端下载的连接并发数。 首先,需要在nginx配置文件中设置连接限制区域,如下所示: ``` http { limit_conn_zone $binary_remote_addr zone=perip:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值