zoukankan      html  css  js  c++  java
  • nginx配置访问频率

    nginx可以通过limit_conn_zone和limit_req_zone两个组件来限制客户端访问服务端的目录和文件的频率和次数,能够抵挡住部分cc、ddos攻击。

    限制访问频率:

    http{
        ...
    
        #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
        #以$binary_remote_addr 为key,限制平均每秒的请求为20个,
        #1M能存储16000个状态,rete的值必须为整数,
        #如果限制两秒钟一个请求,可以设置成30r/m
    
        limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
        ...
        server{
            ...
            location {
                ...
    
                #限制每ip每秒不超过20个请求,漏桶数burst为5
                #brust的意思就是当每秒超过20个请求时,5个以内的请求会被延迟访问,超过5个的直接返回503
                #nodelay,设置该选项,将严格使用平均速率限制请求数,超过请求频率的直接返回503
                limit_req zone=allips burst=5 nodelay;
                ...
            }
            ...
        }
        ...
    }

    #注意配置的作用域

    注意:发送请求频率高于(1000ms/20r)ms/r 直接返回503

    限制并发连接数:

    http{
        ...
    
        #定义一个名为all_zone的limit_zone,大小10M内存来存储session,
        #nginx 1.18以后用limit_conn_zone替换了limit_conn
        limit_conn_zone   all_zone  $binary_remote_addr  10m;  
        ...
        server{
            ...
            location {
                ...
               limit_conn all_zone 20;          #连接数限制
    
               #带宽限制,对单个连接限数,限制带宽上限500k
               limit_rate 500k;            
    
                ...
            }
            ...
        }
        ...
    }

    配置访问白名单:

    nginx需支持geo模块;

    http{
        ...
    
    geo  $limited  {
            default 1;
            127.0.0.1 0;
            172.31.105.247/32 0;
            include /etc/nginx/whiteip;
        }
    map $limited $limit   {
        1 $binary_remote_addr;
        0 "";
    }
    limit_req_zone $limit zone=allips:20m rate=100r/m;
        ...
        server{
            ...
            location {
                ...
               limit_req zone=allips burst=100 ;                   
                ...
            }
     
    }
    /etc/nginx/whiteip:
    18.195.104.195/32 0;
    18.196.102.154/32 0;
    54.93.227.18/32 0;

    如果nginx上层还有ELB(aws)或SLB(aliyun),需在nginx配置中添加:

    set_real_ip_from  172.31.0.0/16;  
    real_ip_header    X-Forwarded-For;  
    real_ip_recursive on;
    #配置对于从172.31.0.0/16 这个ip段过来的请求,remote_addr的字段的值从
    X-Forwarded-For 中取

    赠人玫瑰,手有余香,如果我的文章有幸能够帮到你,麻烦帮忙点下右下角的推荐,谢谢!

    作者: imcati

    出处: https://www.cnblogs.com/imcati/>

    本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出, 原文链接

  • 相关阅读:
    Jquery 跨域问题
    Linux下scp的用法
    JZ2440_V3_内核驱动程序_点亮一个LED灯
    MATLAB GUIDE 上位机串口通信开发 绘制图形
    关于在DSP工程内数组、strnpy函数、atoi函数的使用心得
    Visio中手绘图形的填充
    Ubuntu16.04NFS配置与ARM开发板互传文件_挂载和卸载
    树莓派压力测试工具STui + Stress的使用
    如何将代码优雅的插入到word中
    常用正则表达式
  • 原文地址:https://www.cnblogs.com/imcati/p/10078180.html
Copyright © 2011-2022 走看看