nginx 防御与优化

最新推荐文章于 2024-02-20 17:28:22 发布
最新推荐文章于 2024-02-20 17:28:22 发布
阅读量270 收藏 1
点赞数 1
分类专栏: 其它
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16946803/article/details/108242390
版权

一、防御

http://www.360doc.com/content/15/1104/16/28748685_510720615.shtml

HTTP请求头防御:https://www.nginx.com/blog/nginx-protect-cve-2015-1635/?_ga=1.14368116.2137319792.1439284699#proxy_set_header

    1.1、限制请求速度 

       https://blog.csdn.net/hellow__world/article/details/78658041

    第一段配置参数:

  • $binary_remote_addr :表示通过remote_addr这个标识来做限制,“binary_”的目的是缩写内存占用量,是限制同一客户端ip地址
  • zone=one:10m:表示生成一个大小为10M,名字为one的内存区域,用来存储访问的频次信息
  • rate=1r/s:表示允许相同标识的客户端的访问频次,这里限制的是每秒1次,即每秒只处理一个请求,还可以有比如30r/m的,即限制每2秒访问一次,即每2秒才处理一个请求

    第二段配置参数:

  • zone=one :设置使用哪个配置区域来做限制,与上面limit_req_zone 里的name对应
  • burst=5:重点说明一下这个配置,burst爆发的意思,这个配置的意思是设置一个大小为5的缓冲区当有大量请求(爆发)过来时,超过了访问频次限制的请求可以先放到这个缓冲区内等待,但是这个等待区里的位置只有5个,超过的请求会直接报503的错误然后返回。
  • nodelay:
    • 如果设置,会在瞬时提供处理(burst + rate)个请求的能力,请求超过(burst + rate)的时候就会直接返回503,永远不存在请求需要等待的情况。(这里的rate的单位是:r/s)
    • 如果没有设置,则所有请求会依次等待排队
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m; #限制请求速度
    server {
        location / {
            limit_req zone=one burst=5 nodelay; #等待区里的位置只有5个
        }
    }
}

    1.2、限制连接数量

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m; #限制连接数量
    server {
        location / {
            limit_conn addr 1;#是限制每个IP只能发起1个连接 (addr 要跟 limit_conn_zone 的变量对应)
        }
    }
}

    1.3、关闭慢链接

http {
    server {
		client_body_timeout 100ms;
		client_header_timeout 100ms;
    }
}

    1.4、设置黑白名单

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m; #限制连接数量
    server {
        location / {
			#deny 127.0.0.1; #禁止访问
			#deny all; #禁止所有
			allow 127.0.0.1; #白名单
        }
    }
}

 

 

 

二、优化

 

 

 

 

 

 

 

手把手入门
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置Nginx实现简单防御cc攻击
09-30
本文主要介绍lua+Nginx下如何快速有效得防御CC攻击。至于如何安装Nginx就不详细介绍了,闲话少说,大家请看示例
Nginx全能指南.pdf
03-19
- 安全防护:Nginx可以配置防火墙规则,提供DDoS防御等安全功能。 总结来说,Nginx因其高效、稳定和灵活性,在Web服务领域占据重要地位,无论是小规模网站还是大型分布式系统,都能找到Nginx的身影。了解和掌握...
HTTP.sys远程执行代码漏洞(CVE-2015-1635,MS15-034)
Fly_鹏程万里
05-05 8832
前言 在2015年4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。 影响...
nginx防止DDOS攻击配置
yshir
10-28 632
防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御。 ngx_http_...
Nginx防御与加固
qq_43665434的博客
05-20 581
Nginx防御与加固 1、日志配置 默认是开启日志的,我们可以在nginx.conf中配置日志格式log_format,存放路径。 cat /etc/nginx/nginx.conf 2、禁止目录浏览 在/etc/nginx/nginx.conf中加上 autoindex off 保存,重启即可。 3、限制目录执行权限 在/etc/nginx/nginx.conf中: # 去掉单个目录的php执行权限 location ~/attachements/.*\.(php|php5)?$ { de
Nginx防御DDOS攻击
三弦的回忆
11-08 2077
防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御
Nginx简单防御CC攻击的两种方法
热门推荐
cnbird's blog
01-11 1万+
CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以
Nginx教程 防御ddos,用户访问控制,限流.zip
01-09
**Nginx 教程:防御DDoS、用户访问控制与限流** Nginx是一款高性能的HTTP和反向代理服务器,广泛应用于Web服务领域,以其高效、稳定和灵活的配置而闻名。本教程将围绕如何利用Nginx进行DDoS防御、用户访问控制以及...
Nginx-windows
08-21
4. **防止DoS攻击**: Nginx可以通过设置限制连接数、请求速率等策略,有效地防御分布式拒绝服务(DoS)攻击,保护服务器安全。 5. **解决跨域问题**: 通过配置Nginx,可以允许特定域名的请求访问其他源的资源,解决...
nginx全套插件包.rar
12-30
在IT行业中,Nginx是一款广泛应用的开源Web服务器和反向代理服务器,以其高效、稳定和易扩展的特性深受开发者喜爱。"nginx全套插件包.rar"是一个专门为CentOS 7系统设计的离线安装包,它包含了运行Nginx所需的所有...
Nginx防御DDOS攻击的配置方法教程
09-30
Nginx是一款轻量级的Web服务器,由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引Rambler使用。 下面这篇文章主要给大家介绍了关于Nginx防御DDOS攻击的配置方法,需要的朋友可以参考下。
nginx开发工具
07-05
总之,"nginx 开发工具" 提供了快速获取 Nginx 开发环境的途径,帮助开发者更专注于功能的实现和系统的优化。通过深入学习和实践这些工具和知识点,可以成为 Nginx 的高级开发者,构建出高效、稳定、安全的网络服务...
谈谈nginx防御DDOS攻击
Memory1011的博客
03-12 247
转自:http://www.pinlue.com/article/2019/12/2516/199857737228.html
通过nginx配置文件抵御***,防御CC***的经典思路!
weixin_34362991的博客
12-29 137
0x00 前言大家好,我们是OpenCDN团队的Twwy。这次我们来讲讲如何通过简单的配置文件来实现nginx防御***的效果。其实很多时候,各种防***的思路我们都明白,比如限制IP啊,过滤***字符串啊,识别***指纹啦。可是要如何去实现它呢?用守护脚本吗?用PHP在外面包一层过滤?还是直接加防火墙吗?这些都是防御手段。不过本文将要介绍的是直接通过nginx的普通模块和配...
【网络安全】Nginx服务器安全加固:全面提升安全防护能力
最新发布
A1_3_9_7的博客
02-20 1809
当前银行互联网业务越来越多,攻击暴露面也随之变大,如何加强Web服务器的安全防护成为一项迫切需要解决的问题。本文简要介绍Nginx基本概念、功能及安全加固建议等内容,后续我们将结合科技运营维护工作实际,持续优化和创新,持续完善互联网系统安全防护能力,护航业务系统高质量发展。
nginx安全防护基本教程【伸手党福利】
wwppp987的博客
03-31 6450
nginx.conf #user nobody; worker_processes 5; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { #===========================
Nginx通过修改连接简单防御CC攻击的方法
mituan1234567的专栏
07-01 591
http://down.chinaz.com/server/201111/1381_1.htm CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)
NginxNginx配置加固之阻止恶意域名访问
cnskylee的博客
05-08 3926
【问题背景】 一般一个大型的互联网站点都会有一个域名(比如:www.aaa.com、www.bbb.com.cn),这个域名在申请的时候,必须向工信部备案。此外,这个域名会绑定一个或者多个公网IP(国内一般需要向三大运营商购买)。这个公网IP一般用的是80端口,并且公网的IP和80端口,会映射到内网的一个IP地址(负载的IP+端口),然后负载后面会挂N个内网应用服务器的地址。这样公网的用户就可以通过这个域名来访问内网的应用了。 比如,我们日常使用的微软的搜索引擎(cn.bing.com)
nginx 关于防护,安全,限流,动态黑名单的一些配置
lmq1993的博客
08-13 5127
1.关于动态黑名单 主要是定时查询访问日志,查询出访问频率较高的ip进行,加入黑名单 详情见我的上一篇文章nginx动态黑名单功能 2.避免网页被盗链 在http模块配置add_header X-Frame-Options SAMEORIGIN; 只允许相同域名iframe引入网页 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FR
淘宝网Nginx应用与定制实践
- Web接入层:Nginx在淘宝网中主要负责负载均衡、SSL卸载、管理接口、安全防御、灰度发布和静态化等工作。通过多组Nginx服务器实现高可用性,同时通过LVS集群进行更高级别的负载分发。 - 大用户群消息推送:Nginx...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值