防禦DDOS是一個系統工程,攻擊花樣多,防禦的成本高瓶頸多,防禦起來即被動又無奈。 DDOS的特點是分散式,針對頻寬和服務攻擊,也就 是四層流量攻擊和七層應用攻擊,相應的防禦瓶頸四層在頻寬,七層的多在架構的吞吐量。對於七層的應用攻擊,我們還是可以做一些配置來防禦的。
例如前端是Nginx,主要使用nginx的http_limit_conn和http_limit_req模組來防禦。 ngx_http_limit_conn_module 可以限制單一IP的連線數,ngx_http_limit_req_module可以限制單一IP每秒請求數,透過限制連線數和請求數能相對有效的防禦CC攻擊。
以下是設定方法:
限制每秒請求數
ngx_http_limit_req_module模組透過漏桶原理來限制單位時間內的請求數,一旦單位時間內請求數超過限制,就會回傳503錯誤。設定需要在兩個地方設定:
nginx.conf的http段內定義觸發條件,可以有多個條件
在location內定義達到觸發條件時nginx所要執行的動作
#例如:
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求 ...
server { ...
location ~ \.php$ {
limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应
}
}
}參數說明:
$binary_remote_addr 二进制远程地址 zone=one:10m 定义zone名字叫one,并为这个zone分配10M内存,用来存储会话(二进制远程地址),1m内存可以保存16000会话 rate=10r/s; 限制频率为每秒10个请求 burst=5 允许超过频率限制的请求数不多于5个,假设1、2、3、4秒请求为每秒9个,那么第5秒内请求15个是允许的,反之,如果第一秒内请求15个,会将5个请求放到第二秒,第二秒内超过10的请求直接503,类似多秒内平均速率限制。 nodelay 超过的请求不被延迟处理,设置后15个请求在1秒内处理。
限制IP連線數
ngx_http_limit_conn_module的設定方法與參數與http_limit_req模組很像,參數少,要簡單很多
http {
limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件 ...
server { ...
location /download/ {
limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503
}
}
}更多Nginx相關技術文章,請訪問Nginx使用教學欄位來學習!
以上是nginx怎麼防ddos攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章!
