インターネットの発展に伴い、ネットワークへの攻撃手法はますます多様化しており、DDoS 攻撃は複数の攻撃元を利用して対象のサーバーに対して同時に大量のリクエストを送信し、サーバーのダウンを引き起こします。圧倒されてしまい、正常に仕事ができなくなります。したがって、一部の重要な Web サイトでは、サーバーを保護することが非常に重要です。高性能のクロスプラットフォーム Web サーバーおよびリバース プロキシ サーバーとして、Nginx は DDoS 攻撃に対抗するのに役立ちます。 DDoS攻撃を防ぐことを例に、Nginxの実際のセキュリティについてまとめます。
limit_conn_module モジュールを使用すると、構成ファイル内の同じソースからの同時接続の数を設定できます。これは、IP アドレスが大量のリクエストを送信すると、新しい接続を確立し続けることができなくなることを意味します。このアプローチは、単一のクライアントまたは悪意のあるプログラムが大量の接続リソースを使用し、サーバーの帯域幅を消費することを防ぐのに役立ちます。
以下は簡単な構成例です:
http {
...
limit_conn_zone $binary_remote_addr zone=one:10m;
...
server {
...
limit_conn one 10;
...
}
}この構成では、クライアントの接続情報を保存する conn_zone を作成し、「同時接続数を制限する」という名前のリミッターを設定します。同じ IP アドレスは 10 個までです。トラフィック負荷が高い場合、クライアントが使用する接続が多すぎると、クライアントが一時的にスロットルされる可能性があります。
DDoS 攻撃に直面して、サーバーが大量のリクエストを処理できない場合、より高いトラフィックに耐えるためにサーバーの帯域幅を増やすことを検討する必要があります。負荷 。サーバーのネットワーク インターフェイスの帯域幅を増やすか、負荷分散を使用してトラフィック負荷を分散することを検討してください。
HTTP リバース プロキシを使用すると、サーバーの負荷を効果的に軽減できます。 Nginx のリバース プロキシ機能を利用してリクエストを転送すると、オリジン サーバーに直接送信されるのではなく、プロキシ層へのトラフィックが制限されます。リバース プロキシ サーバーを「フロントエンド」として設定すると、トラフィックを複数のバックエンド サーバーにルーティングすることでトラフィック負荷を分散できます。
Nginx キャッシュ構成により、バックエンド サーバーの負荷が効果的に軽減され、応答時間が短縮されます。キャッシュ コンテンツはサーバーのメモリに配置でき、必要に応じてキャッシュ ファイルをクリーンアップできます。 DDoS 攻撃が発生した場合、キャッシュによってサーバーの負荷が軽減され、サーバーのクラッシュを防ぐことができます。
Nginx のファイアウォール構成を使用して IP 範囲を制限し、特定の IP アドレスによるサーバーへのアクセスを許可または拒否できます。ファイアウォール ルールを構成すると、不正なアクセスを禁止しながら、特定の IP アドレスまたは IP アドレス範囲のみにサーバーへのアクセスを許可できます。これは、特定のターゲットに対する DDoS 攻撃を防ぐ効果的な方法です。
つまり、「安全第一」は私たち一人ひとりが守るべき信念です。上記の実践的な方法と手段を通じて、サーバーをより適切に保護し、DDoS 攻撃を防ぎ、オンライン サービスのスムーズな運用を保証できます。
以上がNginx セキュリティの実践: DDoS 攻撃の防止の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
