一、防御
http://www.360doc.com/content/15/1104/16/28748685_510720615.shtml
1.1、限制请求速度
https://blog.csdn.net/hellow__world/article/details/78658041
第一段配置参数:
- $binary_remote_addr :表示通过remote_addr这个标识来做限制,“binary_”的目的是缩写内存占用量,是限制同一客户端ip地址
- zone=one:10m:表示生成一个大小为10M,名字为one的内存区域,用来存储访问的频次信息
- rate=1r/s:表示允许相同标识的客户端的访问频次,这里限制的是每秒1次,即每秒只处理一个请求,还可以有比如30r/m的,即限制每2秒访问一次,即每2秒才处理一个请求。
第二段配置参数:
- zone=one :设置使用哪个配置区域来做限制,与上面limit_req_zone 里的name对应
- burst=5:重点说明一下这个配置,burst爆发的意思,这个配置的意思是设置一个大小为5的缓冲区当有大量请求(爆发)过来时,超过了访问频次限制的请求可以先放到这个缓冲区内等待,但是这个等待区里的位置只有5个,超过的请求会直接报503的错误然后返回。
- nodelay:
- 如果设置,会在瞬时提供处理(burst + rate)个请求的能力,请求超过(burst + rate)的时候就会直接返回503,永远不存在请求需要等待的情况。(这里的rate的单位是:r/s)
- 如果没有设置,则所有请求会依次等待排队
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m; #限制请求速度
server {
location / {
limit_req zone=one burst=5 nodelay; #等待区里的位置只有5个
}
}
}
1.2、限制连接数量
http {
limit_conn_zone $binary_remote_addr zone=addr:10m; #限制连接数量
server {
location / {
limit_conn addr 1;#是限制每个IP只能发起1个连接 (addr 要跟 limit_conn_zone 的变量对应)
}
}
}
1.3、关闭慢链接
http {
server {
client_body_timeout 100ms;
client_header_timeout 100ms;
}
}
1.4、设置黑白名单
http {
limit_conn_zone $binary_remote_addr zone=addr:10m; #限制连接数量
server {
location / {
#deny 127.0.0.1; #禁止访问
#deny all; #禁止所有
allow 127.0.0.1; #白名单
}
}
}
二、优化