转：nginx防DDOS攻击的简单配置

文章来自于：

近期由于工作需要，做了些防DDOS攻击的研究，发现nginx本身就有这方面的模块ngx_http_limit_req_module和ngx_http_limit_conn_module。

一、基本介绍

　　1.ngx_http_limit_req_module

　　配置格式及说明：

　　设置一个缓存区保存不同key的状态，这里的状态是指当前的过量请求数。而key是由variable指定的，是一个非空的变量，我们这里使用$binary_remote_addr，表示源IP为key值。

limit_req_zone $variable zone=name:size rate=rate;

　　指定要进行限制的缓存区和最大的请求到达后有多少个请求放入延迟队列（其它的直接丢弃）。如果不希望请求数达到上限而被延迟，就需要使用nodelay。

limit_req zone=name [burst=number] [nodelay];

　　例子：

　　缓存区为10M，请求限制为每秒1次，延迟队列为5

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    ...

    server {

        ...

        location /search/ {
            limit_req zone=one burst=5;
        }
}

　　2.ngx_http_limit_conn_module

　　配置格式及说明：

　　设置一个缓存区保存不同key的状态。我们这里使用源IP来作为key，以此限制每个源IP的链接数

limit_conn_zone $binary_remote_addr zone=addr:10m;

　　指定限制的缓存区，并指定每个key的链接个数

limit_conn zone number;

　　例子：

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    ...

    server {

        ...

        location /download/ {
            limit_conn addr 1;
        }
}

二、实际应用

　如果作为代理服务器，我们需要限制每个用户的请求速度和链接数量，但是，由于一个页面有多个子资源，如果毫无选择的都进行限制，那就会出现很多不必要的麻烦，如：一个页面有40个子资源，那么如果想让一个页面完整的显示，就需要将请求速度和连接数都调整到40，以此达到不阻塞用户正常请求，而这个限制，对服务器性能影响很大，几百用户就能把一台nginx的处理性能拉下来。

　　所以我们需要制定哪些请求是需要进行限制的，如html页面；哪些是不需要限制的，如css、js、图片等，这样就需要通过配置对应的location进一步细化。

　　注：location介绍见最后附录

　　我们不对css、js、gif、png，jpg等进行连接限制，而对除此之外的链接进行限制

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;

    ...

    server {

        ...

       location ~ .*.(gif|png|css|js|icon)$ {
            proxy_set_header Host $http_host;
            proxy_set_header X-Real_IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }

        location ~* .*.(jpeg|jpg|JPG)$ {
            proxy_set_header Host $http_host;
            proxy_set_header X-Real_IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #    image_filter resize 480 -;
        #    image_filter_jpeg_quality 50;
        #    image_filter_sharpen 10;
        #    image_filter_buffer 4M;
        }

        location / {
            proxy_set_header Host $http_host;
            proxy_set_header X-Real_IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            #limit
            limit_conn addr 3;
            limit_req zone=one burst=5;
        }
}

　

附录：Location配置简单介绍（转自http://blog.sina.com.cn/s/blog_97688f8e0100zws5.html）

　　

语法规则： location [=|~|~*|^~] /uri/ { … }

= 开头表示精确匹配

 

^~ 开头表示uri以某个常规字符串开头，理解为匹配 url路径即可。nginx不对url做编码，因此请求为/static/20%/aa，可以被规则^~ /static/ /aa匹配到（注意是空格）。

 

~ 开头表示区分大小写的正则匹配

 

~*  开头表示不区分大小写的正则匹配

 

!~和!~*分别为区分大小写不匹配及不区分大小写不匹配 的正则

 

/ 通用匹配，任何请求都会匹配到。

 

多个location配置的情况下匹配顺序为（参考资料而来，还未实际验证，试试就知道了，不必拘泥，仅供参考）：

 

首先匹配 =，其次匹配^~, 其次是按文件中顺序的正则匹配，最后是交给 / 通用匹配。当有匹配成功时候，停止匹配，按当前匹配规则处理请求。

 

例子，有如下匹配规则：

 

 

location = / {

   #规则A

}

location = /login {

   #规则B

}

location ^~ /static/ {

   #规则C

}

location ~ .(gif|jpg|png|js|css)$ {

   #规则D

}

location ~* .png$ {

   #规则E

}

location !~ .xhtml$ {

   #规则F

}

location !~* .xhtml$ {

   #规则G

}

location / {

   #规则H

}

　　

那么产生的效果如下：

 

访问根目录/， 比如http://localhost/ 将匹配规则A

 

访问 http://localhost/login 将匹配规则B，http://localhost/register 则匹配规则H

 

访问 http://localhost/static/a.html 将匹配规则C

 

访问 http://localhost/a.gif, http://localhost/b.jpg 将匹配规则D和规则E，但是规则D顺序优先，规则E不起作用， 而 http://localhost/static/c.png 则优先匹配到 规则C

 

访问 http://localhost/a.PNG 则匹配规则E， 而不会匹配规则D，因为规则E不区分大小写。

 

访问 http://localhost/a.xhtml 不会匹配规则F和规则G，http://localhost/a.XHTML不会匹配规则G，因为不区分大小写。规则F，规则G属于排除法，符合匹配规则但是不会匹配到，所以想想看实际应用中哪里会用到。

 

访问 http://localhost/category/id/1111 则最终匹配到规则H，因为以上规则都不匹配，这个时候应该是nginx转发请求给后端应用服务器，比如FastCGI（php），tomcat（jsp），nginx作为方向代理服务器存在。