nginx防ddos配置

最新推荐文章于 2024-05-20 10:01:43 发布
最新推荐文章于 2024-05-20 10:01:43 发布
阅读量76 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/lixiaoran/p/6868312.html
版权

Nginx  limit_zone与limit_req_zone

(防DDOS攻击模块)

http {

limit_req_zone $binary_remote_addr zone=one:100m   rate=10r/m;

 

server {

                  …………………….

                  …………………….

          limit_req   zone=one  burst=1  nodelay;

    ………………….

}

}

rate=10r/m 的意思是每个地址每分钟只能请求10次,也就是说根据令牌桶原理burst=1 一共有1块令牌,并且每分钟只新增10块令牌,
1块令牌发完后多出来的那些请求就会返回503

加上 nodelay之后超过 burst大小的请求就会直接返回503

如果没有该字段会造成大量的tcp连接请求等待。

 

http{
limit_zone one  $binary_remote_addr  10m;
server
{
......
limit_conn   one  1;
......
}
   }

这里的 one 是声明一个 limit_zone 的名字,$binary_remote_addr是替代 $remore_addr 的变量,10m 是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1

 

nginx_limit_req介绍

一、nginx 限制连接模块介绍

a)nginx 上有两个限制连接的模块一个是 limit_zone 另一个是 limie_req_zone,两个都可以限制连接,但具体有什么不同呢?
下面是 nginx 官网上给的解释

b)limit_req_zone
Limit frequency of connections from a client.
This module allows you to limit the number of requests for a given session, oras a special case, with one address.
Restriction done using leaky bucket.

c)limit_zone
Limit simultaneous connections from a client.
This module makes it possible to limit the number of simultaneous connectionsfor the assigned session or as a special case, from one address.

d)按照字面的理解,lit_req_zone的功能是通过令牌桶原理来限制用户的连接频率,(这个模块允许你去限制单个地址指定会话或特殊需要的请求数 )
而 limit_zone 功能是限制一个客户端的并发连接数。(这个模块可以限制单个地址的指定会话或者特殊情况的并发连接数)
一个是限制并发连接一个是限制连接频率,表面上似乎看不出来有什么区别,那就看看实际的效果吧~~~
在我的测试机上面加上这两个参数下面是我的部分配置文件

e)http{
limit_zone one  $binary_remote_addr  10m;
#limit_req_zone  $binary_remote_addr  zone=req_one:10m rate=1r/s;
server
{
......
limit_conn   one  1;
#limit_req   zone=req_one  burst=120;
......
}
}

f)解释一下 limit_zone one  $binary_remote_addr  10m;
这里的 one 是声明一个 limit_zone 的名字,$binary_remote_addr是替代 $remore_addr 的变量,10m 是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1

二、limit_zone两种工作情况

a)limit_reqzone=one burst=10 ;

i.默认情况下是这样配置的,这样每个请求就会有一个delay时间,

ii.Eg:limit_req_zone$binary_remote_addr zone=one:100m rate=10r/m;

就是每分钟有10个令牌供用户使用,按照a的配置情况,就会有一个delay,每个请求时间就是60/10,那每个请求时间就是6s。

b)limit_reqzone=one burst=10 nodelay;

i.添加nodelay配置,这样就是根据你的网络状况访问,一分钟访问够10次后,服务器直接返回503。

ii.Eg:imit_req_zone$binary_remote_addr zone=one:100m rate=10r/m;

就是每分钟有10个令牌供用户使用,按照b的配置情况,就会根据网络情况访问url,如果一分钟超过10个令牌,服务器返回503,等待下一个一分钟领取访问令牌。

转载于:https://www.cnblogs.com/lixiaoran/p/6868312.html

weixin_30699741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置Nginx实现简单御cc攻击
01-11
使用Nginx配置对cc攻击进行简单御 =================================================================== 主要是通过nginx和lua来配合,达到御的目的。 一、Nginx编译支持lua —————————— 1. 下载...
Nginx配置入门教程
09-30
这有助于止直接攻击内部服务器,并且可以通过Nginx进行访问控制、流量管理和DDoS护。 ### 安装与启动Nginx 在Ubuntu系统中,可以使用以下命令快速安装Nginx: ```bash sudo apt-get install nginx ``` 安装...
Nginx DDOS配置
嗯哼的博客
09-08 295
一. 限制每秒请求数 ngx_http_limit_req_module模块通过漏桶原理来限制单位时间内的请求数,一旦单位时间内请求数超过限制,就会返回503错误。配置需要在两个地方设置: nginx.conf的http段内定义触发条件,可以有多个条件 在location内定义达到触发条件时nginx所要执行的动作 例如 http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip
nginxDDos攻击
wangtingting_100的博客
03-19 341
DDos攻击通过向目标网站发送大量的数据包,从而耗尽目标网站资源,导致不能响应正常的业务请求而达到攻击目的。 通过分析请求来源,如果发现这些ip或者UA大多来源同一个或同一个网段的ip,可以通过修改nginx配置规则进行拦截。 场景:某个地址遭受来自海外的攻击 目标:禁止http://xxx.xxx.com/location/homepage/?tag=xxxx 海外访问 1、#登陆海外接...
如何配置NginxDDoS攻击?
最新发布
长风破浪会有时的博客
05-20 328
想象一下,如果有一大群坏孩子(恶意电脑)同时给你家的门铃按个不停,你的家人(服务器)就无法正常进出家门了。这就是DDoS攻击的效果,它会让服务器忙于应对大量的虚假请求,而无法处理真正的用户请求。这些配置可以帮助你的Nginx服务器更好地应对DDoS攻击,但请记住,DDoS攻击是非常复杂的,可能需要更多的安全措施来完全保护你的服务器。而且,这些配置也可能会影响正常用户的体验,所以在设置限制时要小心谨慎。Nginx是一个非常强大的服务器软件,它有一些特殊的配置可以帮助我们阻挡这些坏孩子的捣乱。
Nginx -- 安装--及详细配置 反向代理/ 负载均衡/ 跨域/ 盗链/ DDOS
ws - 兮的博客空间
09-05 538
下载启动Nginx 本篇环境信息 Windows 10 Nginx 1.15.2 1、下载解压 官方下载地址:http://nginx.org/en/download.html 本次下载地址:http://nginx.org/download/nginx-1.15.2.zip 下载后,将nginx-1.15.2.zip解压到自动自定义目录 2、启动 双击 nginx.exe 或 start ngi...
nginx配置 ddos
boolbo的博客
12-25 1027
## 用户的 IP 地址 $binary_remote_addr 作为 Key,每个 IP 地址最多有 50 个并发连接 ## 你想开 几千个连接 刷死我? 超过 50 个连接,直接返回 503 错误给你,根本不处理你的请求了 limit_conn_zone $binary_remote_addr zone=TotalConnLimitZone:10m ; limit_con
网站nginx简单配置,预DDOS恶意攻击
yaso1983的博客
12-07 443
ab.exe -n 1000 -c 1000 访问地址(必须http:)主要是上面二篇文章介绍,按步骤设置,亲测好使!发起测试后,服务器状态。
NginxDDOS攻击的配置方法教程
09-30
本文将详细介绍如何通过Nginx配置DDoS攻击。 首先,DDoS攻击分为四层流量攻击和七层应用攻击。四层攻击主要针对网络层的带宽,而七层攻击则针对应用程序的处理能力。Nginx作为应用服务器,主要关注七层御...
Nginx教程 ddos,用户访问控制,限流.zip
01-09
**Nginx 教程:DDoS、用户访问控制与限流** Nginx是一款高性能的HTTP和反向代理服务器,广泛应用于Web服务领域,以其高效、稳定和灵活的配置而闻名。本教程将围绕如何利用Nginx进行DDoS御、用户访问控制以及...
nginx如何DDOS攻击(针对WEB服务器和数据库服务器)1
08-08
Nginx DDoS 攻击】 在互联网环境中,分布式拒绝服务(DDoS)攻击是常见的安全威胁,针对Web服务器和数据库服务器的护尤为重要。Nginx,作为一个高效的反向代理和负载均衡器,可以通过多种策略来帮助抵挡...
nginxDDOS攻击
yihuliunian的博客
08-14 433
转载自品略图书馆http://www.pinlue.com/article/2019/12/2516/199857737228.html DDOS是一个系统工程,攻击花样多,御的成本高瓶颈多,御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_r..
Nginx配置抵御DDOS或CC攻击
weixin_30633507的博客
07-24 228
攻击的思路我们都明白,比如限制IP啊,过滤攻击字符串啊,识别攻击指纹啦。可是要如何去实现它呢?用守护脚本吗?用PHP在外面包一层过滤?还是直接加火墙吗?这些都是御手段。不过本文将要介绍的是直接通过nginx的普通模块和配置文件的组合来达到一定的御效果。 验证浏览器行为 简易版 下面就是nginx配置文件写法。 if ($cookie_say != "hbnl"){ ...
nginxDDOS攻击配置
zhaoyang10的专栏
12-05 310
http://www.escorm.com/archives/452
nginxDDos
kunatnet的专栏
01-31 1297
nginx 上有两个限制连接的模块一个是 limit_zone 另一个是 limie_req_zone,两个都可以限制连接,但具体有什么不同呢? 下面是 nginx 官网上给的解释 limit_req_zone Limit frequency of connections from a client. This module allows you to limit the number o
#优化:NginxDDOS和CC攻击
weixin_34233618的博客
06-11 169
加载HTTP段 ## # 基础配置 ## keepalive_timeout 10; server_tokens off; types_hash_max_size 2048; ## # 主要配置 ## sendfile on; tcp_nopush on; ...
iptablesDDOS攻击和CC攻击设置
weixin_34319111的博客
09-07 351
DDOS攻击脚本 #止SYN攻击 轻量级预 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT ...
nginx ddos
08-19
为了DDoS(分布式拒绝服务)攻击,可以采取一些措施来保护NGINX服务器。以下是一些常见的御方法: 1. 配置限制连接数:通过设置NGINX配置文件中的`worker_connections`参数来限制同时连接到服务器的客户端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值