nginx限制访问频率，防抓，频率太高之后，关进小黑屋

nginx可以通过limit_conn_zone 和limit_req_zone两个组件来对客户端访问目录和文件的访问频率和次数进行限制，另外还可以善用进行服务安全加固，两个模块都能够对客户端访问进行限制，具体如何使用要结合公司业务环境进行配置。

如能善用此模块能够对 cc、ddos等此类的攻击进行有效的防御。

先来看下我们的配置文件

geo $addr_req_whitelist {
        ranges;
        default 0;
        111.206.171.51-111.206.171.51 1;     #360 bjmd proxy
        180.149.134.10-180.149.134.10 1;     #weibo.com verification peer
        
        # --- 百度免流IP段 2018-03-13 --- #
        180.97.106.0-180.97.106.255 1;
    }
    
    map $http_x_forwarded_for $clientRealIp {
        "" $remote_addr;
        ~^(?P<firstAddr>[0-9\.]+),?.*$ $firstAddr;
    }
    
    map $clientRealIp $clientRealIp2C {
        ~^(?P<ip2c>[0-9]+\.[0-9]+\.[0-9]+)\.[0-9]+$ $ip2c;
    }
    
    map $http_user_agent $dirtyUserAgent {
        default $msec;
        ~^.*(?P<userAgent>Mb2345Browser/9.0).*$ $userAgent;
        ~^.*(?P<userAgent>LieBaoFast/4.51.3).*$ $userAgent;
        ~^.*(?P<userAgent>OPPO\sA33\sBuild/LMY47V).*$ $userAgent;
        ~^.*(?P<userAgent>MicroMessenger/6.5.16).*$ $userAgent;
        ~^.*(?P<userAgent>UpdateRankQ0003).*$ $userAgent;
    }
    
    map $http_user_agent $test_map {
        default $clientRealIp;
        ~^.*(?P<userAgent>KHTML,\slike\sGecko).*$ $userAgent;
    }
    
    limit_req_whitelist geo_var_name=addr_req_whitelist geo_var_value=1;
    #这是白名单用户
    
    limit_conn_zone $clientRealIp zone=addr_conn_whitelist:10m;
    
    limit_req_zone $clientRealIp zone=addr_req_whitelist:10m rate=4r/s;
    #如果这个ip属于白名单里边那么可以执行 rate=4r/s（每秒4个请求）
    #定义一个名为 addr_req_whitelist 的limit_req_zone用来存储session，大小是10M内存，　
    #注释　zone=addr_req_whitelist  中的 addr_req_whitelist 和
　　#1M能存储16000个状态，rete的值必须为整数，
　　   
    limit_req_zone $clientRealIp $request_uri zone=addr_request_uri_req_whitelist:10m rate=2r/s;
    
    limit_req_zone $clientRealIp2C zone=addr2c_req_whitelist:10m rate=4r/s;
    
    limit_req_zone $dirtyUserAgent zone=user_agent_req_whitelist:10m rate=3r/m;

然后找资料理解这段配置

nginx限速配置指令

指令 limit_zone

语法：limit_conn_zone $variable zone=name:size;

默认值：no

使用字段：http

指令描述会话状态存储区域。

会话的数目按照指定的变量来决定，它依赖于使用的变量大小和memory_max_size的值。

指令 limit_conn （和上边的limit_conn_zone合起来用）

语法：limit_conn zone_name(limit_conn_zone $variable zone=name:size;就是这个里边的 zone=name) max_clients_per_ip

默认值：no

使用字段：http, server, location

指令指定一个会话的最大同时连接数，超过这个数字的请求将被返回”Service unavailable” (503)代码。
对上边的总结
limit_zone： 是针对每个IP定义一个存储session状态的容器.这个示例中定义了一个10m的容器，按照32bytes/session， 可以处理320000个session。

limit_conn one 1：限制每个IP只能发起一个并发连接。

limit_rate 300k： 对每个连接都产生限速300k. 注意，这里是对连接限速，而不是对IP限速。如果一个IP允许两个并发连接，那么这个IP就是限速limit_rate×2。（这里就能理解百度云盘了，，他对每个链接限速<100k，你不买会员就只能是一个链接给你下载，你买会员了，哈哈，那就可以多给你分点链接，你就下载的快了）

nginx限制访问频率配置指令

http {
  limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
  server {
    ...
    location /search/ {
      limit_req zone=one burst=5;
　　　　　　　　
　　　　　　　　#限制每ip每秒不超过1个请求，漏桶数burst为5,也就是队列．
　　　　　　　　#nodelay，如果不设置该选项，严格使用平均速率限制请求数，超过的请求被延时处理．
　　　　　　　　#举个栗子：
　　　　　　　　#设置rate=20r/s每秒请求数为２０个，漏桶数burst为5个，
　　　　　　　　#brust的意思就是，如果第1秒、2,3,4秒请求为19个，第5秒的请求为25个是被允许的，可以理解为20+5
　　　　　　　　#但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误．
　　　　　　　　#如果区域存储空间不足，服务器将返回503（服务临时不可用）错误　
　　　　　　　　#速率在每秒请求中指定（r/s）。如果需要每秒少于一个请求的速率，则以每分钟的请求（r/m）指定。　
　　　　　　　　#也可以这么，理解---上面的参数会让nginx 每个IP一秒钟只处理一个请求，但是仍然会有很多还在队列里面等待处理，这样也会占用很多tcp连接，从上面那条命令的结果中就能看得出来。如果加上nodelay就会立即丢弃 limit_req zone=one burst=10 nodelay;
    }

指令 limit_req_zone

语法：limit_req_zone $session_variable zone=name:size rate=rate

默认值：none

上下文：http

命令解析：为session会话状态分配一个大小为size的内存存储区，限制了每秒（分、小时）只接受rate个IP的频率。

指令 limit_req (和上边的limit_req_zone合起来用）

语法：limit_req zone=name burst=burst [nodelay]

默认值：none

使用字段：http、server、location

命令解析：该指令用于指定使用的内存存储区（zone）名称，以及最大的突发请求数（burse）。如果请求的速率超过了limit_req_zone指令中设置的速率，这些请求将被延迟处理，在这种情况下，请求获得服务不可用信息，返回503状态码。

指令 limit_conn_log_level

语法： limit_conn_log_level info | notice | warn | error

默认值： error

使用字段： http, server, location

指定当连接数超过设定的最大连接数，服务器限制连接时的日志等级。