nginx限制请求(ngx_http_limit_req_module)模块和nginx设置ip白名单

最新推荐文章于 2024-07-06 10:11:02 发布
最新推荐文章于 2024-07-06 10:11:02 发布
阅读量830 收藏 1
点赞数
分类专栏: 运维技术 安全 文章标签: nginx 限制请求 白名单 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaodunlin/article/details/107574841
版权

Example Configuration

http {    

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; 

     ...     

server {   

       ...         

location /search/ {      

       limit_req zone=one burst=120 nodelay;        

}

一、limit_req_zone

语法:limit_req_zone $variable zone=name:size rate=rate; 

配置段:http

该指令设置一块共享内存限制域用来保存键值的状态参数。特别是保存了当前超出请求的数量。键的值就是指定的变量(控制不被计算)。如:

注释: 

使用$binary_remote_addr变量,可以将每条状态记录的大小减少到64个字节,这样1M的内存可以保存大约1万6千个64字节的记录

如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回503(Service Temporarily Unavailable)错误

速度可以设置为每秒处理请求数和每分钟处理请求数,其值必须是整数,所以如果你需要每秒处理少于1个的请求,2秒处理一个请求,可以使用30r/m

测试结果:

ab -c 100 -t 10 -k http://192.168.1.10/

确实是每秒请求一次,那多测试一会儿呢?把时间从10秒增加到30秒

这个时候应该是120 已经不够用了,出现很多503,还有两种情况会出现,请看图

还有种情况请求得不到响应而超时了,但我不确定是不是这种情况。客户端自己等不及断开了,返回499

看看当前的tcp连接数

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

虽然这样会让nginx 一秒钟只处理一个请求,但是仍然会有很多还在队列里面等待处理,这样也会占用很多tcp连接,从上面那条命令的结果中就能看得出来。

如果这样呢

limit_req   zone=req_one  burst=120 nodelay;

加上 nodelay之后超过 burst大小的请求就会直接 返回503,如图

也是每秒处理1个请求,但多出来的请求没有象刚才那样等待处理,而是直接返回503。

当前的tcp连接

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

已连接的数量比上面的少了一些

通过这次测试我发现 这两种模块都不能做到绝对的限制,但的确已经起到了很大的减少并发和限制连接的作用,在生产环境中具体用哪种或者需要两种在一起使用就要看各自的需求

知识点:

1.limit_req和limit_conn两个模块都是为了来限流的,但是两者不在一个层面

2.connection是连接,即常说的tcp连接,通过三次握手而建立的一个完整状态机。建立一个连接,必须得要三次握手

3.request是指请求,即http请求,(注意,tcp连接是有状态的,而构建在tcp之上的http却是无状态的协议)

4.简单说明一下, rate=1r/s 的意思是每个地址每秒只能请求一次,也就是说根据令牌桶原理 burst=120 一共有120块令牌,并且每秒钟只新增1块令牌,

120块令牌发完后 多出来的那些请求就会返回503

5.当且仅当limit_req 当前级别上没有指令时,这些指令才从上一级继承 。

Syntax:

limit_req_dry_run on | off;

Default:

limit_req_dry_run off;

Context:

http, server, location

This directive appeared in version 1.17.1.

6.启用空运行模式。在这种模式下,请求处理速率不受限制,但是,在共享内存区域中,过多请求的数量将照常计算。

Syntax:

limit_req_log_level info | notice | warn | error;

Default:

limit_req_log_level error;

Context:

http, server, location

This directive appeared in version 0.8.18.

7.在服务器由于速率超出而拒绝处理请求或延迟请求处理的情况下,设置所需的日志记录级别。延迟的记录级别比拒绝的记录级别少1分;例如,如果limit_req_log_level notice指定“ ” ,则将延迟记录为该info级别。

Syntax:

limit_req_status code;

Default:

limit_req_status 503;

Context:

http, server, location

This directive appeared in version 1.3.15.

8.设置状态代码以响应被拒绝的请求而返回。

Syntax:

limit_req_zone key zone=name:size rate=rate [sync];

Default:

Context:

http

9.设置共享内存区域的参数,该参数将保留各种键的状态。特别是,状态存储当前的过多请求数。该key可以包含文本,变量,他们的组合。密钥值为空的请求不予考虑。

 

白名单

1.设置IP白名单:对指定请求IP不设置限制

http {

   .........................

    geo $whiteiplist  {

       default 1;

       127.0.0.1 0;

       192.168.0.0/16 0;   

    }

    map $whiteiplist $limit {

        1 $binary_remote_addr;

       0 "";

  }

       limit_req_zone $limit zone=fifa:10m rate=5r/s;

    server {

       .......................

        location / {

               limit_req zone=fifa burst=10 nodelay;          

        }

2.测试结果:

IP加入白名单和限制流如图:页面正常

ab -c 100 -t 10 -k http://192.168.1.10/

IP未加入白名单IP段得到的结果如图:页面报错显示503

ab -c 100 -t 10 -k http://192.168.1.10/

 

管哥的运维私房菜
关注
专栏目录
Nginx http_limit_req_module服务器请求限流
qq_45255414的博客
07-20 1444
nginx 可以使用ngx_http_limit_req对服务器资源请求进行限制,这对使用ab等工具恶意压测服务器和cc(challenge Collapsar)会有一定的防范作用。防止用户恶意攻击刷爆服务器。 ngx_http_limit_req_module模块nginx默认安装的,所以直接配置即可。 该模块使用漏斗算法(Leaky Bucket),该算法有两种处理方式Traffic Shaping和Traffic Policing 在桶满水之后,常见的两种处理方式为: 1.暂时拦截住上方水
nginx限制请求ngx_http_limit_req_module模块
xinhuixu博客
06-22 502
http://www.ttlsa.com/nginx/nginx-limiting-the-number-of-requests-ngx_http_limit_req_module-module/#comments
Nginx-http_limit_req_module模块
最新发布
cui_win的专栏
07-06 1284
如何限制每个客户端每秒处理请求数后续会继续补充更多使用的案例。
nginx限制请求数(ngx_http_limit_req_module模块
wanglei_storage的博客
04-06 8412
上一篇文章主要写nginx限制连接数ngx_http_limit_conn_module 模块的作用及使用方法,下面来写ngx_http_limit_req_module模块的作用及使用。通过ngx_http_limit_req_module 模块可以通过定义的键值来限制请求处理的频率。特别的,可以限制来自单个IP地址的请求处理频率。 限制的方法如同漏斗,每秒固定处理请求数,推迟过多请求。该模块提供
Nginx模块 ngx_http_limit_req_module 限制请求速率
zhibin的程序日记
02-29 7102
The ngx_http_limit_req_module module (0.7.21) is used to limit the request processing rate per a defined key, in particular, the processing rate of requests coming from a single IP address. The limita
ngx_dynamic_limit_req_module:ngx_dynamic_limit_req_module模块用于动态锁定IP并定期释放它
05-07
ngx_dynamic_limit_req_module模块用于动态锁定IP并定期释放它。 目录 dynamic_limit_req_zone 设置共享内存区域的参数,该参数将保留各种键的状态。 特别是,状态存储当前的过多请求数。 键可以包含文本,变量及其...
ngx_req_stat:nginx 请求统计模块
06-29
 ngx_req_stat是一个nginx状态统计模块,其统计项是可配置的,并且可以统计不同的虚拟主机,不同的URL。可以统计的包括请求次数,各个状态码的次数,不同的时间段的次数。输出的流量累计信息,平均处理时间等等。 ...
Nginx模块ngx_req_status
04-12
ngx_req_status用来展示nginx请求状态信息,类似于apache的status,nginx自带的模块只能显示连接数等等信息,我们并不能知道到底有哪些请求、以及各url域名所消耗的带宽是多少。ngx_req_status提供了这些功能. 1、按...
nginx限制请求数(ngx_http_limit_req_module) 实现详解
huzilinitachi的专栏
03-26 4747
   nginx ngx_http_limit_req_module可以实现限制请求IP单位时间内的请求次数的作用。限制请求数能一定程度上降低nginx以及nginx作为代理时对恶意的请求访问压力。同时,对于非恶意的高频率请求,一定程度上降低了nginx或者后端服务器的负载。   nginx为了实现对请求IP进行请求限制的功能,需要能做到对请求IP已经对应时间段的请求次数进行保存及高效的查找判断...
Nginx 请求限流模块 防御DDOS攻击ngx_http_limit_req_module
键盘上流淌的日子
10-17 1187
欢迎大家关注本博,同时欢迎大家评论交流,可以给个赞哦!!!   ngx_http_limit_req_module模块可以通过定义键值来限制请求处理的频率,特别是,可以限制来自单一IP地址的请求处理频率。使用"漏斗"方法进行限制。   漏斗限流 ​  漏斗限流是最常用的限流方法之一。顾名思义,漏斗限流的思想来源于漏斗的原理。从现实中漏斗的应用方式可以看出,漏洞的容量代表着某种可持续行为的满载总量,漏斗的剩余空间代表着某种可持续行为的剩余可用数量,漏嘴的流速代表着可通过行为的最 大频率。   DDOS ​.
nginx请求频率限制模块ngx_http_limit_req_module
weixin_34050005的博客
08-24 181
模块ngx_http_limit_req_module 作用: 限制客户端请求频率,防止恶意攻击 配置示例: http { limit_req_zone $binary_remote_addr zone=req_perip:50m rate=10r/s; ... server { ... locatio...
Nginx访问限制模块ngx_http_limit_req_modulengx_http_limit_conn_module限制高并发防止DDOS攻击)
李在奋斗的博客
11-14 1700
文章目录Nginx访问限制限制高并发防止DDOS攻击)Nginx请求限制配置:压测一下请求限制效果场景一:burst和nodelay都不加的情况场景二:只加burst和不加nodelay的情况场景三:加burst和加nodelay的情况Nginx请求限制总结Nginx连接频率限制配置 Nginx访问限制限制高并发防止DDOS攻击) 参考文档: http://nginx.org/en/doc...
接入层限流之ngx_http_limit_req_module
后端老鸟
05-10 515
【转载请注明出处】:https://www.jianshu.com/p/3dc04584bbfd ngx_http_limit_req_module模块Nginx提供的基于漏桶算法实现的请求限流模块,用于对指定KEY对应的请求进行限流,比如按照IP维度限制请求速率。ngx_http_limit_req_module官方文档 配置示例 http { limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; limit_conn_lo
Nginx源码研究】nginx限流模块详解
weixin_34296641的博客
09-25 657
运营研发团队 李乐 高并发系统有三把利器:缓存、降级和限流; 限流的目的是通过对并发访问/请求进行限速来保护系统,一旦达到限制速率则可以拒绝服务(定向到错误页)、排队等待(秒杀)、降级(返回兜底数据或默认数据); 高并发系统常见的限流有:限制总并发数(数据库连接池)、限制瞬时并发数(如nginxlimit_conn模块,用来限制瞬时并...
ngx_http_limit_req_module
albert48的博客
12-13 171
用来限制从单一IP地址的平均请求速率,和limit_conn一样使用共享内存,对所有worker子进程生效。使用leaky_bucket限流算法。 平均速率如果设定为2r/m,并不是在一分钟内请求两次,而是在半分钟内只能请求一次。 ...
nginx使用自带的ngx_http_limit_req_module模块实现接口防刷
qq_30029665的博客
11-24 1156
比如在下两秒中,这个 IP 又进来一个相同的请求,那就对不起了,nginx 就会立马返回错误,因为 nginx 在这三秒内已经处理了三次这个请求了。再看并发 发 10 次请求,所有的请求都完成也是花费了 2 秒多 ,有 7 个请求是失败的,那相对的也是有 3 个请求是成功的,看图。再看并发 发 10 次请求,全部在一秒之内完成请求,有 7 个请求是失败的,那相对的也是有 3 个请求是成功的,看图。先是并发 发 3 次请求,所有的请求都完成花费了 2 秒多 ,3 个请求全部成功,看图。
nginx 限速之limit_req
wanchaopeng的博客
08-21 1191
nginx_http_limit_req_module
ngx_dynamic_limit_req_module 使用方法
06-03
ngx_dynamic_limit_req_module的使用方法如下: 1. 安装nginxngx_dynamic_limit_req_module模块 首先需要安装支持ngx_dynamic_limit_req_module模块nginx版本,然后再编译安装ngx_dynamic_limit_req_module模块。 2. 配置nginx.conf文件 在nginx.conf文件中添加如下配置: ``` http { limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { location /api/ { limit_req zone=one burst=5 nodelay; proxy_pass http://backend; } } } ``` 其中,`limit_req_zone`指令用于配置限流的区域,`zone`参数指定了限流的名称,`10m`指定了限流的内存大小,`rate=1r/s`指定了限流的速率为每秒1个请求。 `limit_req`指令用于限制请求的速率,`zone=one`指定了限流的区域,`burst=5`指定了允许的请求峰值为5个,`nodelay`表示不延迟请求,如果请求超过峰值,则会返回429 Too Many Requests错误。 3. 重启nginx服务 修改完nginx.conf文件后,需要重启nginx服务才能生效。 以上就是ngx_dynamic_limit_req_module的使用方法,可以根据自己的需求对配置进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值