经过配置nginx 抵御不合法请求

时间 2019-11-09

原文原文链接

##ngx_http_limit_conn_module模块使用此模块主要用来限制每秒请求数量，至于依据什么条件限制是由咱们来自定义的。官方文档 Module ngx_http_limit_req_module 中文翻译的 nginx限制请求数ngx_http_limit_req_module模块html

文档讲的很详细了，大体说下： limit_req_zone $variable zone=name:size rate=rate; 命令的意思是，以$variable变量为条件，起名为name,设置的存储空间大小为size，设置限定频率为rate;node

咱们能够设置多个，不一样条件，不一样名称，不一样大小的限制。这个定义咱们是须要写在**http配置段中**。在匹配的location中写上limit_req zone=name [burst=number] [nodelay];这里burst就是容许的漏桶数，当请求频率大于rate可是超出的数量不大于burst设置的数量，则nginx会将超出的请求延迟后面返回。若是请求数量超出burst了，则将超出部分直接返回错误码，默认503。至于nodelay就是设置是否要延迟，有它不超过burst的请求才延迟。 网上大多条件都是$binary_remote_addr,其实咱们能够根据本身的需求，来定义自身的相应条件，活学活用嘛，下面会有实例。nginx

##ngx_http_limit_conn_module模块这个模块主要限制单独ip同一时间的链接数官方文档 Module ngx_http_limit_conn_module。中文翻译的 nginx限制链接数ngx_http_limit_conn_module模块。服务器

各位看文档吧，个人实战中没有使用此模块。dom

##实战阶段翻译

好了，下面进入实战阶段：首先咱们的初始配置文件时是（不完整）：code

http {
    server {
        listen  8080 default_server;
        server_name  localhost:8080;
        
    location ~ .* {
		proxy_pass http://127.0.0.1:8080;
		proxy_set_header X-Real-IP $remote_addr;
	    }
    }
}

咱们的需求是，有一批接口被频繁的不合法访问，咱们要作限制。初版：限制为1s一次请求，漏桶数为5。server

http {

    limit_req_zone  $binary_remote_addr  zone=one:10m rate=1r/s;
    server {
        listen  8080 default_server;
        server_name  localhost:8080;
        
    location ~ .* {
		proxy_pass http://127.0.0.1:8080;
		proxy_set_header X-Real-IP $remote_addr;
	    }
	    
	location ^~ /interface {
		limit_req zone=one burst=5 nodelay;
		proxy_pass http://127.0.0.1:8080;
	    }
    }
}

这里加了proxy_pass http://127.0.0.1:8080;这里配置了转发，不然匹配以后会找不到服务器的。htm

可是这样会有个问题，目前咱们是以ip作的限制，可是有可能网吧或者校内出口就是一个或几个ip，咱们这样限制的话会把正经常使用户也限制到了，得不偿失。其实咱们能够换一种思路来定位到单一用户，正常一个请求过来，咱们都会设置携带一个关于用户的`token`信息。至于这个`token`是如何生成的，只有服务器知道，那咱们加入咱们的每次请求中，`header`中带有这个信息，`token`值，若是一个非法的请求可能没有这个值，即便有这个值咱们也能够以`token`为条件来限制，这样更合理些。

第二版blog

http {

    limit_req_zone  $http_token  zone=two:10m rate=1r/s;
    server {
        listen  8080 default_server;
        server_name  localhost:8080;
        
    location ~ .* {
		proxy_pass http://127.0.0.1:8080;
		proxy_set_header X-Real-IP $remote_addr;
	    }
	    
	location ^~ /interface {
	    if($http_token=""){
	        return 403;
	    }
		limit_req zone=two burst=5 nodelay;
		proxy_pass http://127.0.0.1:8080;
	    }
    }
}

在nginx中，使用$http_变量名，取的就是header中相应的变量。

前方预警：我特地在这个配置中留了个坑，若是你像我这样配置的话，重启会报一个异常nginx: [emerg] unknown directive "if($http_token" ，很奇怪是不，这个异常我花了很长时间才解决，缘由是if和(中间须要个空格，没错，就是这个空格花了我好几个小时，血泪的教训啊，但愿各位不要再重蹈覆辙。这个问题的解决的文章：Nginx unknown directive “if($domain”

此次的配置，多少能够限制住的，对我一个nginx的小白来讲，调研一点用一点，也是不错的。

参考文章：经过nginx配置文件抵御攻击 Nginx配置proxy_pass转发的/路径问题 nginx限制请求数ngx_http_limit_req_module模块在Nginx中记录自定义Header