nginx根据uri与args限流实战笔记

最新推荐文章于 2024-03-02 16:51:42 发布
最新推荐文章于 2024-03-02 16:51:42 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: nginx 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43021133/article/details/110131022
版权

nginx限流实战笔记

作者的小水管服务器被爬虫骚扰了,CPU过高(阿里云ECS),一直发报警
服务器上部署的是php7.2的前后不分离web服务,注:作者不会php,也不知道代码是什么框架,浪费了好长时间

伪静态

if (!-f $request_filename){
	set $rule_0 1$rule_0;
}
if (!-d $request_filename){
	set $rule_0 2$rule_0;
}
if ($rule_0 = "21"){
	rewrite ^/(.*)$ /index.php?/$1 last;
}

直接上结论

基本概念请看:nginx限流基础

http
{
	limit_req_zone $binary_remote_addr zone=de_spider:10m rate=12r/m;
}
server
{
	location = /index.php
    {
        error_page 418 = @de_spider_limit;
        recursive_error_pages on;
        if ($args ~ /(api_1|api_2))
        {
            return 418;
        }
        try_files $uri =404;
   		fastcgi_pass  unix:/tmp/php-cgi-72.sock;
   		fastcgi_index index.php;
   		include fastcgi.conf;
   		include pathinfo.conf;
    }
    
    location @de_spider_limit
    {
        try_files $uri =404;
   		fastcgi_pass  unix:/tmp/php-cgi-72.sock;
   		fastcgi_index index.php;
   		include fastcgi.conf;
   		include pathinfo.conf;
        limit_req zone=test burst=20 nodelay;
    }
}

分析问题,并提出目标

1.排查

1.查看记录发现爬虫使用了动态UA
2.只针对两个特定url爬取

2.目标

1.不影响服务正常运行(废话)
2.只对被爬取的两个特定url进行限流

实践走起

部署测试环境

用docker启动了centos,并用宝塔安装了与实际服务一致的环境

尝试直接限制url

具体日志如下
223.xxx.xxx.224 - - [25/Nov/2020:15:14:45 +0800] "GET /api_1?0.8605529274139898 HTTP/1.1" 200 197 "http://xxxx.com/apphome/index" "Mozilla/5.0 (Linux; Android 9; PBBT00 Build/PPR1.180610.011; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/70.0.3538.110 Mobile Safari/537.36 Html5Plus/1.0 (Immersed/28.148148)"
第一反应,简单的一批,直接对 /api_1 这个uri限流即可

http
{
	limit_req_zone $binary_remote_addr zone=de_spider:10m rate=12r/m;
}
server
{
	location = /api_1
    {
        limit_req zone=test burst=20 nodelay;
    }
}

输入,保存,重启nginx三连
浏览器访问,服务一切正常
随手写了个python测试工具

import requests
import time


class GetTest(object):
    def __init__(self):
        self.session = requests.session()

    def get(self, url):
        res = self.session.get("http://xxxx.com" + url)
        if res.status_code == 200:
            print('成功')
        else:
            print('失败', res.status_code)


if __name__ == '__main__':
    test = GetTest()
    for i in range(100):
        print(i)
        test.get("/api_1")
        time.sleep(0.5)

信心满满的点击运行,瞬间就被打脸了,全部请求都返回了200。T T

找到请求的uri,直接限流

这时才想起来去看一下伪静态,发现一个大坑。

通过rewrite ^/(.*)$ /index.php?/$1 last;
/api_1请求转成了/index.php?/api_1的形式
好吧,那把过滤规则改一下

server
{
	location = /index.php
    {
    	if ($args ~ /(api_1|api_2))
        {
            limit_req zone=test burst=20 nodelay;
        }
    }
}

输入,保存,重启nginx三连。
清脆的papapa响起(打脸声,想歪的去面壁)。
保存后nginx配置检测出错,因为nginx配置中if的实现原理不支持内部嵌套limit_req。

尝试按args限流

一顿搜索之后,找到了大神的解决办法
再次修改代码

server
{
	location = /index.php
    {
        error_page 418 = @de_spider_limit;
        recursive_error_pages on;
        if ($args ~ /(api_1|api_2))
        {
            return 418;
        }
    }
    
    location @de_spider_limit
    {
        limit_req zone=test burst=20 nodelay;
    }
}

输入,保存,重启nginx三连。没有报错,6666。
运行测试工具,确认限流已生效。
正准备收工之时,打开浏览器访问了一下,??????怎么给我下载了个php文件????

修复php

再次一顿搜索,引入php相关配置,测试通过。
最终nginx配置代码在👆

小样,我还治不了你了?

关闭docker,修改线上配置,线上测试通过。
一套完美3连之后,看着满屏的爬虫访问503,美滋滋

飘零的涛涛
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Nginx http_limit_req_module服务器请求限流
qq_45255414的博客
07-20 1376
nginx 可以使用ngx_http_limit_req对服务器资源请求进行限制,这对使用ab等工具恶意压测服务器和cc(challenge Collapsar)会有一定的防范作用。防止用户恶意攻击刷爆服务器。 ngx_http_limit_req_module模块是nginx默认安装的,所以直接配置即可。 该模块使用漏斗算法(Leaky Bucket),该算法有两种处理方式Traffic Shaping和Traffic Policing 在桶满水之后,常见的两种处理方式为: 1.暂时拦截住上方水
nginx限流方案的实现(三种方式)
09-30
一般对外暴露的系统,在促销或者黑客攻击时会涌来大量的请求,为了保护系统不被瞬间到来的高并发流量给打垮, 就需要限流,这篇文章主要介绍了nginx限流方案的实现,非常具有实用价值,需要的朋友可以参考下
nginx实现根据URL转发请求的实战经历
09-29
主要给大家介绍了一次关于nginx实现根据URL转发请求的实战经历,文中通过示例代码介绍的非常详细,对大家学习或者使用nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
nginx配置参数详解
最新发布
u013286192的博客
03-02 1311
nginx配置参数详解
Nginx uri限流
u014376732的博客
03-24 263
通过jmeter分别请求http://127.0.0.1:8083/t8080和http://127.0.0.1:8083/t8081测试。##如果请求uri中匹配t8080,则$name_8080=$uri。http://127.0.0.1:8083/t8080成功率50%http://127.0.0.1:8083/t8081成功率10%测试其它uri限流,符合预期。
Nginx基本介绍+跨域解决方案
dreamhua927的专栏
03-03 6795
Nginx简介 Nginx 是一款由俄罗斯的程序设计师 Igor Sysoev 所开发的高性能的 http 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,它的主要功能有: 反向代理 负载均衡 HTTP 服务器 目前大部分运行的 Nginx 服务器都在使用其负载均衡的功能作为服务集群的系统架构。 功能说明 在上文中介绍了三种 Nginx 的主要功能,下面来讲讲 具体每个功能的作用。 一、反向代理(Reverse Proxy) 介绍反向代理前,我们先理解下正向代理的概念。
nginx变量使用方法详解(3)
ywb201314的专栏
05-18 893
也有一些内建变量是支持改写的,其中一个例子是 $args. 这个变量在读取时返回当前请求的 URL 参数串(即请求 URL 中问号后面的部分,如果有的话 ),而在赋值时可以直接修改参数串。我们来看一个例子: 123456    location /test {        set $orig_args $args;        set $args "a=3&b=4";        
nginx限速配置 limit_req、limit_conn、limit_rate
stupid_leilei的专栏
05-22 2190
nginx上常见的三种限速操作 limit_req、limit_conn、limit_rate
Nginx 正则匹配以及变量
liuchao的博客
09-07 2060
Nginx的正则匹配使用和变量使用
Nginx 删除访问的不必要的参数
qqjjjaa11的专栏
08-16 4827
问题:前端开发报表,需要从我这边数据组拿数据,但是跨域了。 解决跨域:后端做代理,把url请求代理到我们数据组的url。 解决了跨域后,又有新的问题出现。前端服务端每次请求数据组数据的url,都会携带token参数。我们后端的对于token这个不能识别的参数报参数异常。 解决办法是,通过nginx代理修改请求参数,也就是在server里面修改nginx全局参数,也就是修改ngin...
NGINX的速率限制(限流)
于琦海
08-25 2336
NGINX最有用但经常被误解和配置错误的功能之一是限流。它允许您限制用户在给定时间段内可以发出的HTTP请求量。限流可以用于安全目的,例如减慢暴力破解密码的攻击。它可以通过限制请求速率为真实用户的典型值来帮助防御分布式拒绝服务(DDoS)攻击,并且(通过记录日志)可以识别被攻击的URL。更一般地说,它用于保护上游应用服务器免受过多用户请求同时到达而导致的压力过大。在本博客中,我们将介绍 NGINX 限流的基础知识以及更高级的配置。当然限流NGINX Plus 中的工作方式相同。
Nginx源码研究之nginx限流模块详解
09-30
主要介绍了Nginx源码研究之nginx限流模块详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解Nginx限流配置
09-29
本文以示例的形式,由浅入深讲解Nginx限流相关配置,是对简略的官方文档的积极补充,感兴趣的朋友跟随小编一起看看吧
Nginx抢购限流配置实现解析
09-29
主要介绍了Nginx抢购限流配置实现解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
gateway集成阿里Sentinel后,控制台如何根据url动态限流
myth_g的博客
02-13 1162
gateway网关集成Sentinel后,控制台默认限流是根据服务进行的,默认为资源名为ReactiveCompositeDiscoveryClient_服务名称,如下图: 所以限流都是根据整个服务进行的,那么如何像单机一样根据url分组限流呢;有两种方式: 1.通过初始化配置: @Configuration public class SentinelInitUrlConfig { @PostConstruct public void doInit() { lo
nginx的 ngx.var ngx.ctx ngx.req
weixin_30364325的博客
05-08 511
ngx.var 是获取 Nginx 的变量,需要经历字符串 hash、hash 表查找等过程 ngx.ctx 仅仅是一个 Lua table 而已,它的引用存放在 ngx_lua 的模块上下文(ctx_ref) 使用 ngx.ctx 比 ngx.var 往往是更好的选择 https://moonbingbing.gitbooks.io/openresty-best-p...
nginx args
weixin_30649859的博客
11-16 383
$args $content_length $content_type $document_root $document_uri $host $http_user_agent $http_cookie $limit_rate $request_body_file $request_method $remote_addr $remote_port $remote_use...
nginx常用变量
weixin_45953981的博客
05-06 927
即浏览器正常访问图片 http://localhost/1.jpg 会正常显示。访问图片 http://localhost/1.jpg?down 会弹出下载框。nginx监听泛域名并转发到ingress。
nginx限流和gateway限流的区别
04-07
Nginx限流和Gateway限流的区别在于实现方式和作用范围。Nginx限流是通过配置Nginx服务器来实现,限制单个IP或IP段的访问频率,适用于单一应用服务。而Gateway限流是通过API网关来实现,可对多个微服务进行限流,包括对单个API的流量控制、动态调整限流策略等。同时,Gateway限流还可以基于用户、应用等维度进行限流,更加灵活和精细化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值