nginx利用limit模块设置IP并发防CC攻击

最新推荐文章于 2025-04-06 21:50:06 发布
最新推荐文章于 2025-04-06 21:50:06 发布
阅读量1.8w 收藏 3
点赞数
分类专栏: 系统

来源:http://blog.xencdn.net/nginx-limit-conn-how-to/

http://bbs.linuxtone.org/forum.php?mod=viewthread&tid=21954&extra=page%3D1%26filter%3Dtypeid%26typeid%3D1%26typeid%3D1

 

nginx利用limit模块设置IP并发防CC攻击
在nginx.conf 中的http字段下面加入一如下一行
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; ##平均 1r/s 每秒1个请求

再在server下配置的主机定义文档中加入如下一行(全局就加在server下面)
limit_req zone=one burst=8;队列模式
limit_req zone=one burst=8 nodelay; ###不用队列 默认的突发(burst是0)

如果只想限制php的请求,加在location下

location ~ \.php$ {
try_files $uri =404;
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_pass unix:/var/run/php-fpm.sock;
fastcgi_index index.php;
include fastcgi_params;
limit_req zone=one burst=8 nodelay;

重加载nginx即可 nginx -s reload

参考文档1:http://www.howtoforge.com/rate-limiting-with-nginx
参考文档2:http://wiki.nginx.org/NginxHttpLimitReqModule

比如nginx.conf的http段配置如下

  1. limit_req_zone $binary_remote_addr zone=req:20m rate=100r/s;
  2. limit_req zone=req burst=150;
复制代码

“limit_req_zone $binary_remote_addr zone=req:20m rate=100r/s;”
相当于在nginx创建了一个检查站,名字叫req,凡是跟req相关的请求,并限定检查速率是100r/s。
所以当使用“limit_req zone=req
burst=150;”指定某些请求需要经过req的时候,请求的速率就被限制为100r/s。日志验证了这点。

然后就是burst=150了。这相当于在检查站req旁边放150个座位。如果某个请求当时超过速度限制被拦了,请他在空座位上坐着,等排队,如果检查站空了,就可以通过。如果连座位都坐满了,那就抱歉了,请求直接退回,客户端得到一个服务器忙的响应。所以说burst跟request_rate一点关系都没有,设成10000,就是1万个请求可以等着排队,而检查站还是1秒钟放行100个请求(龟速)。而且也不能一直排队,所以nginx还设了超时,排队超过一定时间,也是直接退回,返回服务器忙的响应。

 

Nginx 限流模块:限制高并发IP访问频率
Bertram的博客
10-09 3724
nginx 限流模块:限制高并发IP访问频率
nginx怎么御DDOS攻击
ysds20211402的博客
01-11 3058
转自:微点阅读https://www.weidianyuedu.com/content/1017298565442.html 御DDOS是一个系统工程,攻击花样多,御的成本高瓶颈多,御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块御.
Nginx简单CC攻击的两种方法
热门推荐
cnbird's blog
01-11 1万+
CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难御。因为肉鸡可以
nginx中的limit_reqlimit_conn
最新发布
ZhanBiaoChina的博客
04-06 241
它通过 limit_req_zone 指令定义一个共享内存区域,用于存储请求的状态信息,然后在 location 块中使用 limit_req 指令来限制请求速率。它通过 limit_conn_zone 指令定义一个共享内存区域,然后在 location 块中使用 limit_conn 指令来限制并发连接数。在 Nginx 中,limit_reqlimit_conn 是两个用于限制客户端请求的指令,它们分别用于限制请求速率和并发连接数。limit_req:在 location 块中应用请求速率限制。
nginx ngx_http_limit_req_module 简单CC攻击
weixin_34267123的博客
02-27 161
limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/m; server { location /api/signin { limit_req zone=perip burst=5 nodelay; } } 参考 nginx限制某个IP...
Nginx限流
weixin_43243583的博客
09-23 1098
文章原创于公众号:程序猿周先森。本平台不定时更新,喜欢我的文章,欢迎关注我的微信公众号。 在当今流量徒增的互联网时代,很多业务场景都会涉及到高并发。这个时候接口进行限流是非常有必要的,而限流是Nginx最有用的特性之一,而且也是最容易被错误配置的特性之一。本篇文章主要讲讲Nginx如何对接口进行限流。 Nginx限流主要分为两种方式: 限制访问频率 限制并发连接数 为什么需要限流?开源人员...
Nginx御DDOS攻击的配置方法教程
09-30
通过以上配置,Nginx可以在一定程度上缓解DDoS攻击,限制异常IP并发连接和请求数,同时保护合法用户的访问不受影响。然而,需要注意的是,完整的DDoS御策略通常还需要结合火墙、CDN服务、流量清洗设备等多层...
nginx代理后,获取真实IP,做并发访问限制的方法(限流)
完颜振江
01-22 974
站点在运行时,为了止DDoS 攻击、或内部接口调用造成的数据迸发,nginx提供了limit限流模块: HttpLimitZoneModule 限制同时并发访问的数量HttpLimitReqModule 限制访问数据,每秒内最多几个请求 一、普通配置: 什么叫普通配置? 普通配置就是针对【用户浏览器】→【网站服务器】这种常规模式的 nginx 配置。那么,如果我要对单 IP 做访问限制,绝大多数教程都是这样写的: ## 用户的 IP 地址 $binary_remote_addr 作为 Key,每
如何用Nginxcc攻击
04-04
1. 限制并发连接数:通过配置Nginx的`limit_conn`模块,可以限制每个IP地址的并发连接数。这样可以有效地止单个IP地址发起大量的请求。 2. 限制请求速率:使用Nginx的`limit_req`模块,可以限制每个IP地址的请求...
配置Nginx实现简单cc攻击
09-30
本文主要介绍lua+Nginx下如何快速有效得CC攻击。至于如何安装Nginx就不详细介绍了,闲话少说,大家请看示例
通过配置nginxCC攻击
互联网观察员
11-28 387
1.根据访问地址过滤。 检测到访问地址有test=这些关键词,自动跳转到本地。 if ($request_uri ~* test=) { return 301 http://127.0.0.1; } 2.根据访问地址过滤。 检测到来源地址有Baiduspider,自动跳转到本地。 if ($http_referer ~* Baiduspider) { return 301...
OpenResty(nginx扩展)实现cc攻击_openrestry cc攻击
2401_83947353的博客
04-12 491
本文介绍使用openresty来实现cc攻击的功能。openresty官网http://openresty.org/cn/index.html。下面是cc攻击的流程图。根据流程图,我们知道cc攻击主要包括两部分,一是限制请求速度,二是给用户发送js跳转代码进行验证请求是否合法。
nginxcc攻击
weixin_30375427的博客
09-26 96
有两种方法,一种正对user agent ,$http_user_agent 第二种就是利用 limit_conn 模块 这个方法网上到处是 limit_zone one $binary_remote_addr 10m;写作http 中 limit_conn one 5; 写在 server 的location中, 需要指出的是两者不能并用,返回403了就不会记ip...
nginx limit 限流
Dream_Flying_BJ的博客
03-09 851
超过每秒1次的请求就返回503 Sets the shared memory zone and the maximum burst size of requests. If the requests rate exceeds the rate configured for a zone, their processing is delayed such that requests are proc
Nginx和PHP网站CC攻击解决方案步骤举例
章郎虫的专栏
07-03 1157
昨天接到客户服务器告警,看到一个nginx+php网站正在遭受CC攻击,导致服务器复制居高不下,正常业务访问大多数时候出现502错误。CC攻击是 DDOS(分布式拒绝服务) 的一种,DDoS是针对IP攻击,而CC攻击的是网页。CC攻击来的IP都是真实的,分散的。数据包都是正常的数据包,攻击的请求全都是有效的请求,无法拒绝的请求。服务器可以连接,但是网页就是访问不了,也见不到特别大的异常流量,但是持续时间长,仍能造成服务器无法进行正常连接,危害更大。查看服务器日志,大量IP访问网站,导致负载居高不下。...
Nginx的基本使用和遇到cc攻击时ngnix如何设置
superkingnub1的博客
08-06 726
全局块是配置文件中的最外层,用于设置影响整个Nginx服务器的参数,如运行Nginx的用户和用户组、工作进程数、错误日志路径、PID文件路径、文件描述符限制等.Events块用于配置Nginx服务器与用户的网络连接相关的参数,如选择的事件模型(epoll、kqueue等)、工作进程的最大连接数、TCP缓冲区大小等.Location块用于配置请求的路由和页面处理情况,基于Nginx服务器接收到的请求字符串进行匹配,对特定的请求进行处理,如地址定向、数据缓存和应答控制等.这个区域的大小和请求的速率限制是通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值