前言
- 理解盗链与防盗链
- 内核参数优化
为什么要配置防盗链呢?
这么来说,我们在自己网站上存放的图片等其他静态资源,辛辛苦苦搭建好,就是想自家来点流量,结果被他人做了盗链,链接到他们的网站上
,别人访问链接时,增加他的访问量,但消耗自己的服务器资源。气不气?所以建议大家没必要都公开发布的都做好防盗链。
防止别人直接从你网站引用图片等链接,消耗了你的资源和网络流量,那么我们的解决办法由几种:
1:水印,品牌宣传,你的带宽,服务器足够
2:防火墙,直接控制,前提是你知道IP来源
3:防盗链策略下面的方法是直接给予404的错误提示或重定向
防盗链的原理
防盗链的原理是加入location项,用正则表达式过滤图片类型文件,对于信任的网站可以使用,不信任的返回404或响应的错误图片。
模拟盗链
域名 | ip地址 | 备注 |
---|---|---|
nginx服务器(www.daolian.com) | 172.16.46.115 | nginx已经安装 |
nginx服务器(www.yuan.com) | 172.16.46.114 | nginx已经安装 |
1>//在www.yuan.com里html里面添加snow.jpg,已提供外网的访问
[root@yuan www]# cd /usr/local/nginx/html/
[root@yuan html]# ls
403.html 50x.html index.html snow.jpg
2>//修改/etc/hosts/文件,使相互能够域名解析到
[root@172.16.46.115 ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
172.16.46.115 www.daolian.com
[root@172.16.46.114 ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
172.16.46.114 www.yuan.com www.yuan1.com
宿主机访问也需要修改hosts文件
3>//修改daolian.com主机的默认index.html,添加盗链的图片链接
[root@172.16.46.115 ]# cat /usr/share/nginx/html/index.html
<img src="http://www.yuan.com/snow.jpg" />
[root@172.16.46.115 ]#
4>//访问www.daolian.com的首页,测试盗链是否成功!
以上就是模拟了盗链的场景,现实生产也很常见,为了避免这种情况,下面就做了防盗链
设置防盗链
1>//修改[root@yuan html]# vim /usr/local/nginx/conf/nginx.conf
添加以下内容:
location ~* ^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {
valid_referers none blocked *.yuan.com yuan.com;
if ($invalid_referer) {
rewrite ^/ http://www.yuan1.com/timg.jpg; #重定向到yuan1.com下的图片
#return 404;
}
access_log off;
}
保存退出
nginx -s reload
添加重定向到yuan1.com的虚拟主机
[root@yuan html]# cd /www
[root@yuan www]# ls
403.html timg.jpg
referer:http请求来源
valid-referers:白名单,允许通过的refer,即信任的网站
none:表示refer为空,直接在浏览器访问图片
blocked:refer不为空,但是值被代理或防火墙删除了后面网站或域名:referer里包含的相关字符串
if语句:如果链接的来源域名不在valid_referers所列出的列表里$invalid_referers则值为1,执行后面操作,进行重写或返回404
防盗链设置好以后,再来模拟盗链访问
可以看见,已经无法获取到有效的资源了!
nginx内核参数优化
编辑这个vim /etc/stsctl.conf
修改参数
nginx有着响当当的优点——高并发,官方给出数据3-5万并发,真实环境中谁设置谁倒霉,1-2万常见,就ok,就这比apache强的好多,听朋友说300-500(apache)就不错了,I/O模型不同,知道就ok了,下面聊一聊这些参数都是什么意思。
fs.file-max = 4096
:这个参数表示进程(比如一个 worker 进程)可以同时打开的最大句柄数,这个参数直线限制最大并发连接数,需根据实际情况配置。
net.ipv4.tcp_max_tw_buckets = 6000
#这个参数表示操作系统允许 TIME_WAIT 套接字数量的最大值,如果超过这个数字,TIME_WAIT 套接字将立刻被清除并打印警告信息。该参数默认为 180000,过多的 TIME_WAIT 套接字会使 Web 服务器变慢。
net.ipv4.ip_local_port_range = 1024 65000
#允许系统打开的端口范围。
net.ipv4.tcp_tw_recycle = 1
#启用 timewait 快速回收。
net.ipv4.tcp_tw_reuse = 1
#开启重用。允许将 TIME-WAIT sockets 重新用于新的 TCP 连接。这对于服务器来说很有意义,因为服务器上总会有大量 TIME-WAIT 状态的连接。
net.ipv4.tcp_keepalive_time = 1200
:这个参数表示当 keepalive 启用时,TCP 发送 keepalive 消息的频度。默认是 2 小时,若将其设置的小一些,可以更快地清理无效的连接。
net.ipv4.tcp_syncookies = 1
#开启 SYN Cookies,当出现 SYN 等待队列溢出时,启用 cookies 来处理。
net.core.somaxconn = 256
#web 应用中 listen 函数的 backlog 默认会给我们内核参数的net.core.somaxconn 限制到 128,而 nginx 定义
NGX_LISTEN_BACKLOG 默认为 511,所以有必要调整这个值。
net.core.netdev_max_backlog = 20480
#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。
net.ipv4.tcp_max_syn_backlog = 8192
#这个参数标示 TCP 三次握手建立阶段接受 SYN 请求队列的最大长度,默认为 1024,将其设置得大一些可以使出现 Nginx 繁忙来不及 accept 新连接的情况时,Linux 不至于丢失客户端发起的连接请求。
net.ipv4.tcp_rmem = 10240 87380 12582912
#这个参数定义了 TCP 接受缓存(用于 TCP 接受滑动窗口)的最小值、默认值、最大值。
net.ipv4.tcp_wmem = 10240 87380 12582912:
这个参数定义了 TCP 发送缓存(用于 TCP 发送滑动窗口)的最小值、默认值、最大值。
net.core.rmem_default = 6291456:
这个参数表示内核套接字接受缓存区默认的大小。
net.core.wmem_default = 6291456
:这个参数表示内核套接字发送缓存区默认的大小。
net.core.rmem_max = 12582912
:这个参数表示内核套接字接受缓存区的最大大小。
net.core.wmem_max = 12582912
:这个参数表示内核套接字发送缓存区的最大大小。
net.ipv4.tcp_syncookies = 1
:该参数与性能无关,用于解决 TCP 的 SYN 攻击。
例子:
[root@localhost ~]# vim /etc/sysctl.conf
fs.file-max = 4096
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 40960
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 1024 65000
执行 sysctl -p 使内核修改生效