Die Verteidigung gegen DDOS ist ein systematisches Projekt. Die Verteidigungskosten sind hoch und es gibt viele Engpässe. Das Merkmal von DDOS ist, dass es verteilt ist und auf Bandbreiten- und Dienstangriffe abzielt, d .
1. Begrenzen Sie die Anzahl der Anfragen pro Sekunde
Das Modul ngx_http_limit_req_module verwendet das Leaky-Bucket-Prinzip, um die Anzahl der Anfragen zu begrenzen pro Zeiteinheit Einmalig Wenn die Anzahl der Anfragen pro Zeiteinheit das Limit überschreitet, wird ein 503-Fehler zurückgegeben.
Die Konfiguration muss an zwei Stellen festgelegt werden:
Triggerbedingungen werden im http-Abschnitt von nginx.conf definiert. Es können mehrere Bedingungen vorhanden sein
Definieren Sie die Aktion, die von Nginx ausgeführt werden soll, wenn die Triggerbedingung am Standort erreicht wird
http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求 ... server { ... location ~ \.php$ { limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应 } } }
Parameterbeschreibung:
$binary_remote_addr Binäre Remote-Adresse
zone=one :10m Definieren Sie den Zonennamen als einen und weisen Sie dieser Zone 10 MB Speicher zum Speichern von Sitzungen zu (1 Mio. Speicher kann 16.000 Sitzungen speichern
rate=10r/s; Die Grenzfrequenz beträgt 10 pro Sekunde. Anfragen
burst=5 Die Anzahl der Anfragen, die die Frequenzgrenze überschreiten, darf nicht mehr als 5 betragen. Es wird davon ausgegangen, dass die Anzahl der Anfragen 1, 2, 3 und 4 Sekunden beträgt beträgt 9 pro Sekunde, dann sind 15 Anfragen in der 5. Sekunde zulässig. Wenn es dagegen 15 Anfragen in der ersten Sekunde gibt, werden 5 Anfragen in der zweiten Sekunde gestellt. Anfragen über 10 in der zweiten Sekunde werden direkt 503 sein. ähnlich dem durchschnittlichen Ratenlimit in mehreren Sekunden.
Knotenverzögerung Anfragen, die das Limit überschreiten, werden nicht verzögert. Nach der Einstellung werden 15 Anfragen innerhalb von 1 Sekunde verarbeitet.
2. Begrenzen Sie die Anzahl der IP-Verbindungen
Die Konfigurationsmethode und die Parameter von ngx_http_limit_conn_module sind dem Modul http_limit_req sehr ähnlich, mit weniger Parametern und viel einfacher
http { limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件 ... server { ... location /download/ { limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503 } } }
3. Whitelist-Einstellungen
http_limit_conn- und http_limit_req-Module begrenzen die Anzahl der Parallelität und Anfragen pro Zeiteinheit einer einzelnen IP, aber wenn es einen Lastausgleich oder einen Reverse-Proxy gibt, z Als lvs oder haproxy vor Nginx sind alle von Nginx erhaltenen Verbindungen oder Anforderungen vom Lastausgleich zu diesem Zeitpunkt nicht eingeschränkt. Sie müssen eine Whitelist für die Geo- und Kartenmodule festlegen:
geo $whiteiplist { default 1; 10.11.15.161 0; } map $whiteiplist $limit { 1 $binary_remote_addr; 0 ""; } limit_req_zone $limit zone=one:10m rate=10r/s; limit_conn_zone $limit zone=addr:10m;
Weitere Nginx-bezogene technische Artikel, besuchen Sie bitte die Spalte Nginx-Tutorial, um mehr zu erfahren!
Das obige ist der detaillierte Inhalt vonSo verhindern Sie DDoS-Angriffe nach dem Nginx-Reverse-Proxy. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!