Nginx防攻击杀手锏

 

1.限制IP访问频率：

HttpLimitZoneModule 限制并发连接数实例

limit_zone只能定义在http作用域，limit_conn可以定义在http server location作用域

    #定义一个名为allips的limit_req_zone用来存储session，大小是10M内存，

    #以$binary_remote_addr为key,限制平均每秒的请求为20个，

   #1M能存储16000个状态，rete的值必须为整数，

    #如果限制两秒钟一个请求，可以设置成30r/m

   limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;

   server{

       location {

           #限制每ip每秒不超过20个请求，漏桶数burst为5

           #brust的意思就是，如果第1秒、2,3,4秒请求为19个，

           #第5秒的请求为25个是被允许的。

           #但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。

           #nodelay，如果不设置该选项，严格使用平均速率限制请求数，

           #第1秒25个请求时，5个请求放到第2秒执行，

           #设置nodelay，25个请求将在第1秒执行。

           limit_req zone=allips burst=5 nodelay;

       }

    }

 

2.限制user_agent,下例是屏蔽httpclient请求过来的示例：

   if ($http_user_agent ~*(Apache-HttpClient)) {

        return 200;

   }

 

 

3.紧急情况封IP

deny
语法:     deny address | CIDR |unix: | all;
默认值:     —
配置段:     http, server, location,limit_except

禁止某个ip或者一个ip段访问.如果指定unix:,那将禁止socket的访问.注意：unix在1.5.1中新加入的功能，如果你的版本比这个低，请不要使用这个方法。

location/ { 
   deny  192.168.1.1;        封192.168.1.1
   allow 192.168.1.0/24;   封192.168.1.0-192.168.1.255
   deny  all;   封所有IP
}