Nginx限制IP访问频率,防止暴力攻击

最新推荐文章于 2024-05-21 19:20:33 发布
最新推荐文章于 2024-05-21 19:20:33 发布
阅读量2.2k 收藏 6
点赞数 1
分类专栏: nginx|openresty 文章标签: nginx tcp/ip 服务器
原文链接:https://www.jiweichengzhu.com/article/db46bed522984e6380d37b398602c26b
版权

简介:在我们访问一个网页的时候,总会有若干个http请求发出,比如:阅读量、点赞数,这些一般都是通过ajax动态变更的,如果接口没做校验处理,那么很容易就会被人利用来

在我们访问一个网页的时候,总会有若干个http请求发出,比如:阅读量、点赞数,这些一般都是通过ajax动态变更的,如果接口没做校验处理,那么很容易就会被人利用来攻击网站。

以往不太会用nginx的时候,用Java写过一个限制IP访问的处理器,可以根据IP来限制每个接口的访问频率,虽然写的很戳,但是也能勉强达到效果(但还是有bug):限制每一个IP对同一个接口的疯狂调用,这次我们来用nginx处理这个问题。

主要用到了nginx的ngx_http_limit_conn_modulengx_http_limit_req_module两个配置:

ngx_http_limit_conn_module:限制并发连接数;

ngx_http_limit_req_module:限制一段时间内同一IP的访问频率;

首先,我们为了防止别人来攻击,或者访问量异常过高导致服务器崩掉,就需限制访问量,如果是一瞬间的并发访问,那么我们就需要限制一秒之内的并发连接数,此时就需要用到第一个配置

http { 

    limit_conn_zone $binary_remote_addr zone=addr:10m; 

    #定义一个名为addr的limit_req_zone用来存储session,大小是10M内存,
    #以$binary_remote_addr 为key

    #nginx 1.18以后用limit_conn_zone替换了limit_conn,
    #且只能放在http{}代码段.

    ... 

    server { 

        ... 

        location / { 
            limit_conn addr 10;   #连接数限制
            #设置给定键值的共享内存区域和允许的最大连接数。超出此限制时,服务器将返回503(服务临时不可用)错误.
       #如果区域存储空间不足,服务器将返回503(服务临时不可用)错误
        }

    }

}

上面的配置能达到的效果就是,一瞬间访问的时候,只会有10个IP能得到响应,后面的IP直接就返回503状态。

其次,如果一个IP能访问到服务器,那么它如果疯狂的调用接口,如:页面上写个for循环一直刷请求,且不说数据会错乱,最后可能导致将服务器的带宽耗尽,从而导致服务器假死崩溃,此时就需要用到第二个配置

http{
    ...

    #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
    #以$binary_remote_addr 为key,限制平均每秒的请求为20个,
    #1M能存储16000个状态,rete的值必须为整数,
    #如果限制两秒钟一个请求,可以设置成30r/m

    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    ...
    server{
        ...
        location / {
            ...

            #限制每ip每秒不超过20个请求,漏桶数burst为5
            #brust的意思就是,如果第1秒、2,3,4秒请求为19个,
            #第5秒的请求为25个是被允许的。
            #但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。
            #nodelay,如果不设置该选项,严格使用平均速率限制请求数,
            #第125个请求时,5个请求放到第2秒执行,
            #设置nodelay,25个请求将在第1秒执行。

            limit_req zone=allips burst=5 nodelay;
            ...
        }
        ...
    }
    ...
}

此时能达到的效果,同一个ip在一秒钟只能获得20个访问,超过20个请求,后面的也是直接返回503。

上面的两个配置加在一起就可以做到:一秒只有10个连接,每个连接只能发送20个请求。

注意:对request的访问限制,大家一定要注意数量的配置,否则一不小心就会503(ERR_ABORTED 503 (Service Temporarily Unavailable))

很好用的两个功能,但是这两个配置也不是绝对安全,只要有足够的耐心来尝试,摸索出间接等待的时长,一样可以绕过这些校验,所以最好的方式还是在服务端做校验!

ac.char
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx 限流模块:限制高并发和IP访问频率
Bertram的博客
10-09 3438
nginx 限流模块:限制高并发和IP访问频率
nginx限制ip访问频率
csdncjh的博客
06-23 6763
Nginx通过limit_conn_zone 和 limit_req_zone对同一个IP地址进行限速限流,可防止DDOS/CC和flood攻击 。 limit_conn_zone是限制同一个IP的连接数。而一旦连接建立之后 。客户端就会通过这次的连接发送多次请求,那么在此期间的请求频率和速度进行限制就需要limit_req_zone连接数限制,相当于限制nginx与客户端之间的管道个数http区块的配置: server区块配置如下;请求频率 限制,相当于限制nginx与客户端管道之间水的流速http区
nginx 限制IP访问频率
04-12 2116
一、限制所有单个ip访问频率 1、http中的配置 http { #$limit_conn_zone:限制并发连接数 limit_conn_zone $binary_remote_addr zone=one1:10m; #limit_req_zone:请求频率 #$binary_remote_addr:以客户端IP进行限制 #zone=one:10m:创建IP存储区大小为10M,用来存储访问频率 #rate=10r/s:表示客户端的访问评率为每秒10...
如何使用Nginx限制访问频率
最新发布
长风破浪会有时的博客
05-21 417
有时候,我们的网站可能会遇到一些“太热情”的访问者,他们可能在很短的时间内频繁地访问我们的网站。这样做可能会导致我们的服务器变得很慢,甚至影响到其他正常的访问者。为了保护我们的网站,我们可以使用Nginx来设置一些规则,限制这些过于频繁的访问。通过这样配置,Nginx就可以帮助我们限制访问者的请求频率了。如果有人试图过于频繁地访问我们的网站,Nginx就会自动地放慢他们的访问速度,从而保护我们的服务器不受影响。这个配置做了什么呢?
网站nginx配置限制单个IP访问频率,预防DDOS恶意攻击
01-20 6618
一、简介 对于网站来说,尤其是流量较大出名的网站,经常遇到攻击,如DDOS攻击等,虽然有些第三方,如Cloudflare可以挡,但对于动态网站PHP来说,只能挡一部分。这时候需要对于单个IP恶意攻击做出限流。nginx的两个模块可以限流。 nginx两个限流模块: 连接频率限制,ngx_http_limit_conn_module:官方文档 请求频率限制,ngx_http_limit_req_module:官方文档 二、两者模块区别 首先理解请求和连接,HTTP请求建立在一次TCP连接基础上, 一次TCP
nginx 限速及虚拟目录
weixin_34301307的博客
12-29 149
由于nginx版本比较老,0.8X所以不能使用新的限制语法。要求对www.ckl.com 限制下载200K老的语法如下:在http段添加: limit_zone one $binary_remote_addr 10m;增加全局限速: server { location / { limit_conn one 1; ...
nginx使用详解--流控
liulanba的博客
03-01 1010
Nginx可以通过实现流量控制(流控)来限制服务器访问并保护其免受过载的影响,限流有以下几种:正常限制访问频率(正常流量)突发限制访问频率(突发流量)限制并发连接数黑白名单配置。
nginx配置限制同一个ip访问频率方法
01-10
1、在nginx.conf里的http{}里加上如下代码: limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name ...$binary_remote_addr是限制同一客户端ip地址; $server_name是限制同一server最
Nginx限制IP访问某些页面的操作
09-29
在特定场景下,为了安全和管理需求,我们可能需要限制特定IP地址或IP段对某些网页的访问。本文将详细讲解如何在Nginx中实现这样的功能。 1. **禁止所有IP访问特定页面** 要禁止所有IP访问`a1.htm`, `a2.htm`, `a3....
nginx 限制ip、并发量、连接数等配置
01-30
Nginx配置文件(通常是`/etc/nginx/nginx.conf`或`/usr/local/nginx/conf/nginx.conf`)中,可以使用`allow`和`deny`指令来允许或禁止特定IPIP段的访问。以下是一个示例: ```nginx server { listen 80; ...
nginx限制ip访问次数
lyf0327的博客
04-07 5741
lit_req_zone的功能是通过 令牌桶原理来限制 用户的连接频率,(这个模块允许你去限制单个地址 指定会话或特殊需要的请求数 ) http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; #触发条件,限制每个地址每秒只能请求10次 server { ... location ~ \.php$ {
Nginx限制某个IP同一时间段的访问次数和请求数示例代码
01-10
nginx可以通过ngx_http_limit_conn_module和ngx_http_limit_req_module配置来限制ip在同一时间段的访问次数. ngx_http_limit_conn_module:该模块用于限制每个定义的密钥的连接数,特别是单个IP​​地址的连接数.使用limit_conn_zone和limit_conn指令. ngx_http_limit_req_module:用于限制每一个定义的密钥的请求的处理速率,特别是从一个单一的IP地址的请求的处理速率。使用“泄漏桶”方法进行限制.指令:limit_req_zone和limit_req. ngx_http_limi
通过nginx配置文件抵御攻击,防御CC攻击的经典思路!
weixin_34167819的博客
03-26 442
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx配置限制同一个ip访问频率
热门推荐
秋天的博客
05-14 1万+
nginx可以通过ngx_http_limit_conn_module和ngx_http_limit_req_module配置来限制ip在同一时间段的访问次数. ngx_http_limit_conn_module:该模块用于限制每个定义的密钥的连接数,特别是单个IP​​地址的连接数.使用limit_conn_zone和limit_conn指令. ngx_http_limit_req_m...
nginx单个ip访问频率限制
xue08161981的专栏
12-09 913
一、限制所有单个ip访问频率 1、http中的配置 http { #$limit_conn_zone:限制并发连接数 limit_conn_zone $binary_remote_addr zone=one1:10m; #limit_req_zone:请求频率 #$binary_remote_addr:以客户端IP进行限制 #zone=one:10m:创建IP存储区大小为10M,用来存储访问频率 #rate=10r/s:表示客户端的访问评率为.
Nginx+Lua脚本+Redis 实现自动封禁访问频率过高IP
weixin_43112000的博客
01-25 5046
前言:由于公司前几天短信接口被一直攻击,并且攻击者不停变换IP,导致阿里云短信平台上的短信被恶意刷取了几千条,然后在Nginx上对短信接口做了一些限制 临时解决方案: 1、查看Nginx日志发现被攻击IP 和接口 [root@app_lb1 ~]# tail -f /var/log/nginx/access.log 发现攻击者一直在用POST请求 /fhtowers/user/getVerif...
Nginx 限流模块:限制高并发和IP访问频率 面试常考
雪锋的笔记
05-19 956
Nginx 是我们常用的负载均衡和反向代理服务器,并发性能非常优秀。 但是在并发量极大的情况下,必要限流措施还是需要的,Nginx 的有对应的模块插件可通过简单配置来完成这个功能。 限制并发,限制ip并发数,也是说限制同一个ip同时连接服务器的数量。1、添加limit_conn_zone 这个变量只能在http使用。 http{ ... #定义一个名为one的limit_zone,大小10M内存来存储session, #以$binary_remote_addr 为key #nginx 1.18以后用
html网页如何限制ip访问量,Nginx 限制IP访问频率
weixin_34644635的博客
06-17 1195
Nginx服务器上进行一些常规设置,限制某一段时间内同一ip访问数实例.nginx限制ip访问频率数,也是说限制同一个ip在一段时间里连接服务器的次数.通过这种设置,可以一定程度上防止类似CC这种快速频率请求的攻击1,添加limit_req_zone这个变量只能在http使用http{...#定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,#以$b...
使用Nginx限制同一IP访问频率
07-15
您可以使用Nginx的模块来限制同一IP访问频率。其中一个常用的模块是ngx_http_limit_req_module,它可以帮助您实现这个目标。 要使用该模块,请按照以下步骤进行操作: 1. 打开您的Nginx配置文件,通常位于 `/etc/nginx/nginx.conf` 或 `/etc/nginx/conf.d/default.conf`。 2. 在适当的位置(例如 `http` 块内),添加以下配置: ``` http { # 设置限制频率的zone limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; # 设置限制频率的规则 server { location / { # 使用之前定义的zone进行限制 limit_req zone=one burst=5; # 其他配置项... } } # 其他配置项... } ``` 在上述配置中,`limit_req_zone` 定义了一个名为 `one` 的zone,使用 `$binary_remote_addr` 来标识每个IP地址。`10m` 是用于存储限制信息的内存大小,您可以根据实际情况进行调整。`rate=1r/s` 表示每秒允许一个请求。 在 `server` 块内的 `location` 配置中,使用 `limit_req zone=one burst=5` 来应用限制规则。`burst` 参数表示在超过限制频率时允许的突发请求数量。 3. 保存配置文件并重新加载Nginx,以使更改生效。您可以使用以下命令重新加载Nginx: ``` sudo systemctl reload nginx ``` 这样,Nginx就会根据配置限制同一IP访问频率。当超过设定的限制时,Nginx会返回一个503错误给客户端。 请注意,您可以根据需要调整 `limit_req_zone` 和 `limit_req` 的参数,以满足您的具体需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值