Nginx 安全策略之限流与防刷(防止恶意请求)

已于 2024-10-17 17:02:16 修改
阅读量1.6k 收藏 12
点赞数 24
文章标签: nginx java 服务器
于 2024-10-17 15:51:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/seeyouwell/article/details/143020517
版权

限流

   限流是限制单位时间内通过服务器的请求数量,以保护服务器资源不被过度消耗。Nginx提供了多种限流方法,包括:

1. 固定连接数限制:通过worker_connections参数限制每个工作进程允许的连接数。例如:

http {
    worker_connections 1000;
}

2. 基于CPU使用率限制:通过worker_connections_highworker_connections_low参数限制连接数,当CPU使用率超过worker_connections_high时,连接数自动减少,低于worker_connections_low时,连接数自动增加。例如:

http {
    worker_connections_high 1000;
    worker_connections_low 500;
}

3. 基于负载限制:通过limit_req_zonelimit_req指令限制请求数,可以根据不同的请求内容设置不同的限制策略。例如:

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
    limit_req zone=mylimit burst=5;
}

该配置将限制每个IP每秒请求数为1,同时允许突发请求数为5。

防刷

防刷是指防止恶意用户通过大量请求对服务器进行攻击,以保证服务器的稳定运行。Nginx提供了以下防刷方法:

  1. 验证码:通过在页面中添加验证码,要求用户在提交请求时输入验证码,以防止恶意机器人请求。例如:

location /captcha/ {
    image_filter_buffer 256k;
    image_filter jpeg;
    image_filter_quality 85;
}

2. 限制请求频率:通过limit_req_zonelimit_req指令限制同一IP在一定时间内的请求次数。例如:

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;
}

该配置将限制每个IP每秒请求数为5。

3. 封禁恶意IP:通过access_loghttp_access_log指令记录访问日志,及时发现恶意IP并封禁。例如:

http {
    access_log logs/ip_ban.log;
    http_access_log logs/ip_ban.log main;
}

然后根据日志内容进行封禁操作,例如在iptables中添加规则:

iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j DROP

资源保护

为了保护服务器资源,Nginx还提供了以下配置项:

  1. 内存保护:通过worker_rlimit_nofileworker_rlimit_core限制工作进程的打开文件数和最大内存使用。例如:

http {
    worker_rlimit_nofile 10000;
    worker_rlimit_core 1000m;
}

2. 防止DDoS攻击:通过配置proxy_buffer_sizeproxy_buffers_numberproxy_connect_timeout等参数,限制代理连接的资源使用。例如:

http {
    proxy_buffer_size 4k;
    proxy_buffers_number 8;
    proxy_connect_timeout 300s;
}

3. 监控与告警:通过ngin x -s reload命令,可以实时监控Nginx状态,发现异常时自动进行重载。例如:

while true; do
    nginx -s reload
    sleep 1
done

更多设置

为了防止恶意大量请求(如DDoS攻击)对Nginx服务器造成的影响,可以采取以下措施:

  1. 限制连接数和请求数

    • 使用 limit_conn 和 limit_req 模块来限制单个IP地址的并发连接数和请求数。
    • 在Nginx配置文件中,可以通过以下配置实现:

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    limit_req_zone $binary_remote_addr zone=req:10m rate=1r/s;
    server {
        location / {
            limit_conn addr 10;
            limit_req zone=req burst=5 nodelay;
        }
    }
}

  • 在上述配置中,limit_conn 限制每个IP地址的最大连接数为10,而 limit_req 限制每秒请求数为1,每个请求池的突发请求数为5。
使用Fail2Ban
  • Fail2Ban是一种入侵预防软件框架,能够动态更新防火墙规则,通过过滤日志文件来阻止恶意IP地址。
  • 可以配置Fail2Ban监控Nginx日志文件,并在检测到异常请求模式时自动阻止IP地址。

调整Nginx超时设置
  • 通过配置 client_body_timeoutclient_header_timeout 和 send_timeout 来防止恶意请求长时间占用连接。
  • 例如:
  1. client_body_timeout 10s;
  2. client_header_timeout 10s;
  3. send_timeout 10s;

使用防火墙和IP过滤
  • 利用iptables或其他防火墙工具设置规则,限制特定IP地址或IP地址段的访问。
  • 可以设置速率限制以防止某些IP地址过于频繁地请求服务器。
启用HTTPS和使用WAF(Web应用防火墙)
  • 启用HTTPS可以防止窃听和某些类型的中间人攻击。
  • 部署基于云的或本地的Web应用防火墙来识别和过滤恶意请求。
使用CDN

内容分发网络(CDN)通常具有内置的流量管理和安全功能,可以有效地缓解DDoS攻击。

通过结合这些方法,可以大大提高Nginx服务器防止恶意大量请求攻击的能力。每种方法都有其自身的优缺点,具体措施应根据应用场景的需要进行配置和调整。

如何限制 NGINX 中的连接(请求)速率 - Part2
u012748257的博客
07-03 1123
在我们的 NGINX 流量管理系列的上一篇文章中,我们讨论了如何限制NGINX 中的连接数。
nginx使用自带的ngx_http_limit_req_module模块实现接口
qq_30029665的博客
11-24 1442
比如在下两秒中,这个 IP 又进来一个相同的请求,那就对不起了,nginx 就会立马返回错误,因为 nginx 在这三秒内已经处理了三次这个请求了。再看并发 发 10 次请求,所有的请求都完成也是花费了 2 秒多 ,有 7 个请求是失败的,那相对的也是有 3 个请求是成功的,看图。再看并发 发 10 次请求,全部在一秒之内完成请求,有 7 个请求是失败的,那相对的也是有 3 个请求是成功的,看图。先是并发 发 3 次请求,所有的请求都完成花费了 2 秒多 ,3 个请求全部成功,看图。
nginx跨站脚本攻击
最新发布
清幽竹客
02-18 537
通过 Nginx 过滤请求中的常见 XSS 攻击字符(如scripteval等)可以有效阻止 XSS 攻击。
Nginx+iptables屏蔽访问Web页面过于频繁的IP(DDOS,恶意访问,采集器)
09-30
通过分析nginx的日志来过滤出访问过于频繁的IP地址,然后添加到nginx的blockip.conf,并重启nginx.
nginx 屏蔽恶意请求
dechen6073的博客
11-16 1897
https://www.xlongwei.com/detail/nginx-%E5%B1%8F%E8%94%BD%E6%81%B6%E6%84%8F%E8%AF%B7%E6%B1%82 nginx可以很方便地做访问控制,特别是一些偶发性的大量恶意请求,需要屏蔽处理。 屏蔽ip地址 location /someapi/ {allow ip; #特定接口只开放给某个ip调...
nginx
05-30 336
分布式缓存:利用nginx的反向代理功能,结合分布式缓存系统(如Redis等),将用户的请求先通过缓存系统验证,避免直接访问后端服务器,减少攻击对服务器的冲击。访问频率限制:可以通过nginx配置对IP或用户的访问频率进行限制,对于超过一定访问频率的请求,可以进行拦截或限制访问速度。动态黑名单:通过监控系统的异常访问行为,将恶意IP或用户行为加入黑名单,nginx可以根据黑名单规则进行过滤。验证码机制:对于重要的接口或登录等操作,可以加入验证码机制,防止恶意攻击者通过自动化脚本进行攻击。
nginxlimit 设置白名单(geo模块)
weixin_34234721的博客
05-31 288
Geo 模块http { includeconf/mime.types; default_typeapplication/octet-stream; geo$geo { default default; 218.30.115.0/24 ...
nginx 屏蔽某些ip,防止有些人接口攻击
行走天下
08-31 1965
答:用户访问接口时候,我们代码里面会获取当前访问的ip,记录访问的次数频率等,超过多少次就写进去某个文件里面。怎么抓取对方的ip呢?抓取到了,又怎么写进去nginx去呢?这两个问题,没解决就是不知道怎么处理。上面代码只是获ip,一分钟,访问多少以上才写入这个文件,就根据你们的自己定义了。2、抓取到了,又怎么写进去nginx去呢?答:include 方式引进被禁用的ip。1、怎么抓取对方的ip呢?.........
nginx限流方案的实现(三种方式)
09-30
Nginx作为一款高性能的HTTP和反向代理服务器,提供了多种限流策略来确保系统的稳定性和安全性。本文将详细介绍Nginx实现限流的三种方式:`limit_conn_zone`、`limit_req_zone`以及`ngx_http_upstream_module`。 ###...
web服务器如何限流-nginx,tomcat服务器如何限制流量
01-08
总之,理解并正确配置Nginx和Tomcat的限流策略,能够有效地保护Web服务器,提高其稳定性和安全性。同时,结合压力测试工具和限流算法,可以进一步优化这些策略,确保服务器性能用户体验的平衡。
Nginx教程 御ddos,用户访问控制,限流.zip
01-09
**Nginx 教程:御DDoS、用户访问控制限流** Nginx是一款高性能的HTTP和反向代理服务器,广泛应用于Web服务领域,以其高效、稳定和灵活的配置而闻名。本教程将围绕如何利用Nginx进行DDoS御、用户访问控制以及...
Nginx安全配置:DDoS御、访问控制限流技巧
资源摘要信息: "Nginx教程 御ddos,用户访问控制,限流.zip" Nginx(发音为 "engine x")是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。因其稳定性、丰富的功能集、简单的配置和低资源消耗而...
Nginx限流限速
二次源的博客
01-05 1070
Nginx是一个高性能的HTTP和反向代理web服务器,是运维中十分常用的中间件,本篇文章将介绍Nginx的限速限流
nginx限流方案
qq_43134606的博客
06-01 2252
前言   互联网发展已经进入了存量期,一开始低廉的获客成本已经不复存在,互联网公司通过付出诱人而高昂的补贴以此来拉新的方式,催生了大量的黑产,灰产.并且越来越多的公司爆出数据泄露,暗网上用户的密码和隐私信息已经被打包明码标价出售.记得年前我司遭遇了撞库的攻击,部分用户的登陆凭证和密码被窃取.黑客通过其他渠道获得的手机号和密码字典,来请求我们的登陆接口.虽然最后造成的损失有限,但暴露了很多服务架构和业务安全性上的问题.   首先,签名算法暴露和弱密码的问题.验签算法暴露在目前反编译解包如此成熟的情况下,很难
openresty(nginx)+ lua + redis实现接口
qq_30029665的博客
05-10 1431
限流是指比如是在搞活动期间流量突增,假设我们的后端的服务器有个接口最大能抗住 1000QPS,但是在这个时间点突然进来了 2000QPS,请求经过限流之后,按照请求的时间先后,先放过我们设定 900 个请求,其余的请求会在队列里等待之前的请求处理完成,而不是像一样直接返回异常。我们的已经完成了,超量的请求就到不了后端了,而且这个 IP 还会被锁一段时间,但是对于阈值的设定必须要往大了设置,避免掉有效的请求。的结果,第一次出现的结果和上面(上图)一致,第二次的结果如下。
Nginx 攻击安全配置
Ficow Shen
07-22 2123
网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法) 网站被攻击是一个永恒不变的话题,网站攻击的方式也是一个永恒不变的老套路。找几百个电脑(肉鸡),控制这些电脑同时访问你的网站,超过你网站的最大承载能力,然后你就瘫了。方法虽然老土,但却一直都很管用,就像怎么打败美帝国主义,最简单的方法就是 13 亿中国人都移民去美帝,吃他的、用他...
关于Laravel Nginx 限流策略防止恶意请求
wgchen
05-06 791
关于Laravel Nginx 限流策略防止恶意请求 一、问题背景 最近公司最近的几台线上服务器经常出现CPU覆盖过高,影响部分应用响应超时,产生了大量的短信和邮件报警,经过排查数据库日志和access.log,发现是API接口被,被恶意疯狂请求,最大一次大概120次/s。 之前没有过太多这方面经验,处理起来不是很顺畅,这次的问题刚好提了醒,经过这次的问题暴露,来记录一下解决方案和策略。 线上的部署方案是:nginx + laravel。 首先我们尝试从nginx层面入手,将占用更少的内存消耗,无需再
nginx攻击的简单配置
weixin_34289454的博客
04-13 165
主要通过两方案来做护,一是nginx自带模块限制请求连接数和并发数;二是筛选IP加入黑名单; 1、并发数和连接数控制的配置 nginx http配置: #请求数量控制,每秒20个 limit_req_zone $binary_remote_addr zone=one:10m rate=20r/s; #并发限制30个 limit_conn_zone $binary_...
Nginx服务安全加固
qq_40907977的博客
03-18 1506
1、禁止频繁访问的ip访问nginx 生产环境中经常会遇到某个ip地址频繁异常的访问nginx网站,此时我们需要通过安全措施保护我们的服务器 部署nginx [root@localhost tools]# yum install gcc gcc-c++ make automake autoconf libtool pcre* zlib openssl openssl-devel [root@localhost tools]# tar xf nginx-1.11.2.tar.gz [root@localh
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

seeyouwell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值