nginx 防DDOS攻击设置

时间 2019-12-07

标签 nginx ddos 攻击设置栏目 Nginx 繁體版

原文原文链接

nginx 上有两个限制链接的模块一个是 limit_zone 另外一个是 limie_req_zone,两个均可以限制链接，但具体有什么不一样呢？
下面是 nginx 官网上给的解释
limit_req_zone
Limit frequency of connections from a client.
This module allows you to limit the number of requests for a given session, or as a special case, with one address.
Restriction done using leaky bucket.php

limit_zone
Limit simultaneous connections from a client.
This module makes it possible to limit the number of simultaneous connections for the assigned session or as a special case, from one address.node

按照字面的理解，lit_req_zone的功能是经过令牌桶原理来限制用户的链接频率，(这个模块容许你去限制单个地址指定会话或特殊须要的请求数 )
而 limit_zone 功能是限制一个客户端的并发链接数。(这个模块能够限制单个地址的指定会话或者特殊状况的并发链接数)
一个是限制并发链接一个是限制链接频率，表面上彷佛看不出来有什么区别，那就看看实际的效果吧~~~
在个人测试机上面加上这两个参数下面是个人部分配置文件
http{
limit_zone one $binary_remote_addr 10m;
#limit_req_zone $binary_remote_addr zone=req_one:10m rate=1r/s;
server
{
......
limit_conn one 1;
#limit_req zone=req_one burst=120;
......
}
}nginx

解释一下 limit_zone one $binary_remote_addr 10m;
这里的 one 是声明一个 limit_zone 的名字，$binary_remote_addr是替代 $remore_addr 的变量，10m 是会话状态储存的空间
limit_conn one 1 ,限制客户端并发链接数量为1
先测试 limit_zone 这个模块
我找一台机器用ab 来测试一下命令格式为
ab -c 100 -t 10 http://192.168.6.26/test.phpsession

test.php 内容是phpinfo
看看日志里的访问并发

<a href="http://blog.goyiyo.com/wp-content/uploads/2014/03/1.jpg" class="cboxElement" rel="example4" 1941"="" style="text-decoration: none; color: rgb(1, 150, 227);">tcp

看来也不必定能限制的住1秒钟1个并发链接，（有网友跟我说这是由于测试的文件自己过小了才会这样，有时间必定测试一下），从日志里面能够看得出来除了几个200之外其余的基本都是503，多数并发访问都被503了。
我又用ab多运行了一下子，发现另外一种状况测试

<a href="http://blog.goyiyo.com/wp-content/uploads/2014/03/2.jpg" class="cboxElement" rel="example4" 1941"="" style="text-decoration: none; color: rgb(1, 150, 227);">
彷佛随着数量的增多效果也会发生一些变化，并非彻底达到模块说明中的效果
看看当前的tcp链接数
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 29
FIN_WAIT1 152
FIN_WAIT2 2
ESTABLISHED 26
SYN_RECV 16spa

此次测试下 limit_req_zone,配置文件稍微改动一下
http{
#limit_zone one $binary_remote_addr 10m;
limit_req_zone $binary_remote_addr zone=req_one:10m rate=1r/s;
server
{
......
#limit_conn one 1;
limit_req zone=req_one burst=120;
......
}
}
restart 一下 nginx
简单说明一下， rate=1r/s 的意思是每一个地址每秒只能请求一次，也就是说根据令牌桶(通过网友冰冰的指正应该是漏桶原理)原理 burst=120 一共有120块令牌，而且每秒钟只新增1块令牌，
120块令牌发完后多出来的那些请求就会返回503
测试一下
ab -c 100 -t 10 http://192.168.6.26/test.php
看看这时候的访问日志<a href="http://img1.51cto.com/attachment/201108/141110969.jpg" target="_blank" class="cboxElement" rel="example4" 1941"="" style="text-decoration: none; color: rgb(1, 150, 227);">
rest

<a href="http://blog.goyiyo.com/wp-content/uploads/2014/03/3.jpg" class="cboxElement" rel="example4" 1941"="" style="text-decoration: none; color: rgb(1, 150, 227);">日志

确实是每秒请求一次，那多测试一下子呢？把时间从10秒增长到30秒

<a href="http://blog.goyiyo.com/wp-content/uploads/2014/03/4.jpg" class="cboxElement" rel="example4" 1941"="" style="text-decoration: none; color: rgb(1, 150, 227);">
这个时候应该是120 已经不够用了，出现不少503，还有两种状况会出现,请看图

<a href="http://blog.goyiyo.com/wp-content/uploads/2014/03/5.jpg" class="cboxElement" rel="example4" 1941"="" style="text-decoration: none; color: rgb(1, 150, 227);">
这种状况很像是在队列里的一些请求得不到响应而超时了，但我不肯定是否是这种状况。

<a href="http://blog.goyiyo.com/wp-content/uploads/2014/03/6.jpg" class="cboxElement" rel="example4" 1941"="" style="text-decoration: none; color: rgb(1, 150, 227);">
客户端本身等不及断开了，返回499
看看当前的tcp链接数
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 51
FIN_WAIT1 5
ESTABLISHED 155
SYN_RECV 12

虽然这样会让nginx 一秒钟只处理一个请求，可是仍然会有不少还在队列里面等待处理，这样也会占用不少tcp链接，从上面那条命令的结果中就能看得出来。
若是这样呢
limit_req zone=req_one burst=120 nodelay;
加上 nodelay以后超过 burst大小的请求就会直接返回503，如图

也是每秒处理1个请求，但多出来的请求没有象刚才那样等待处理，而是直接返回503。当前的tcp链接# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'TIME_WAIT 30FIN_WAIT1 15SYN_SENT 7FIN_WAIT2 1ESTABLISHED 40SYN_RECV 37已链接的数量比上面的少了一些经过此次测试我发现这两种模块都不能作到绝对的限制，但的确已经起到了很大的减小并发和限制链接的做用，在生产环境中具体用哪一种或者须要两种在一块儿使用就要看各自的需求了。测试就到这里，若是文章里有不对的地方请你们及时指正，谢谢