nginx 防ddos

1.限制每秒请求数

Ngx_http_limit_req_module 模块通过漏桶原理来限制单位时间内的请求数，一旦单位时间内请求数超过限制，就会返回503错误。

配置：

1）nginx.conf 的 http 段内定义触发条件，可以有多个条件

2）在 location 内定义达到触发条件时 nginx所要执行的动作

例如：

http {

    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件，所有访问ip 限制每秒10个请求

    server {

        ...

        location ~ \.php$ {

            limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应

       }

   }

}

参数说明：

zone=one:10m    定义zone名字叫one，并为这个zone分配10M内存，用来存储会话（二进制远程地址），1m内存可以保存16000会话

rate=10r/s;     限制频率为每秒10个请求

burst=5         允许超过频率限制的请求数不多于5个，假设1、2、3、4秒请求为每秒9个，那么第5秒内请求15个是允许的，反之，如果第一秒内请求15个，会将5个请求放到第二秒，第二秒内超过10的请求直接503，类似多秒内平均速率限制。

nodelay         超过的请求不被延迟处理，设置后15个请求在1秒内处理。

2.限制 IP 连接数

ngx_http_limit_conn_module 的配置方法与参数 http_limit_req 模块很像，参数少，要简单很多

http {

    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {

           location /download/ {

                limit_conn addr 1;  // 限制同一时间内1个连接，超出的连接返回503

           }

    }

}

3.白名单设置

http_limit_conn 和 http_limit_req 模块限制了单 ip 单位时间内的并发和请求数，但是如果 Nginx 前面有 lvs 或者 haproxy 之类的负载均衡或者反向代理，nginx 获取的都是来自负载均衡的连接或请求，这时不应该限制负载均衡的连接和请求，需要 geo 和 map 模块设置白名单

geo $whiteiplist {

    default 1;

    10.11.15.161 0;

}

map $whiteiplist $limit {

    1 $binary_remote_addr;

    0 "";

}

limit_req_zone $limit zone=one:10m rate=10r/s;

limit_conn_zone $limit zone=addr:10m;

geo模块定义了一个默认值是1的变量whiteiplist，当在ip在白名单中，变量whiteiplist的值为0，反之为1
如果在白名单中--> whiteiplist=0 --> $limit="" --> 不会存储到10m的会话状态（one或者addr）中 --> 不受限制
反之，不在白名单中 --> whiteiplist=1 --> $limit=二进制远程地址 -->存储进10m的会话状态中 --> 受到限制

4.测试

使用ab命令来模拟CC攻击，http_limit_conn和http_limit_req模块要分开测试，同时注意 http_limit_conn模块只统计正在被处理的请求（这些请求的头信息已被完全读入）所在的连接。如果请求已经处理完，连接没有被关闭时，是不会 被统计的。这时用netstat看到连接数可以超过限定的数量，不会被阻止。

ab -n 请求数 -c 并发 http://10.11.15.174/i.php

5.其他一些防 CC 的方法

1）Nginx模块 ModSecurity,  http_guard, ngx_lua_waf

    modSecurity 应用层 WAF, 功能强大，能防御的攻击多，配置复杂

    ngx_lua_waf 基于 ngx_lua 的web 应用防火墙，使用简单，高性能和轻量级

    http_guard 基于 openresty

2）软件+iptables

    fail2ban 通过分析日志来判断是否使用 iptables 拦截

    DDos Deflate 通过netstat 判断 ip 连接数，并使用 iptables 屏蔽

1. 高防服务器和带流量清洗的ISP 通常是美韩的服务器，部分ISP骨干供应商有流量清洗服务，例如香港的PCCW。通常可以防御10G左右的小型攻击
2. 流量清洗服务 例如：akamai(prolexic),nexusguard 我们最大受到过80G流量的攻击，成功被清洗，但是费用非常贵
3. CDN 例如：蓝讯 网宿 cloudflare 等，CDN针对DDOS的分布式特点，将流量引流分散，同时对网站又有加速作用，效果好，成本相对低。

总结一下：发动攻击易，防御难。七层好防，四层难防；小型能防，大型烧钱