文档章节

Nginx限制访问速率和最大并发连接数模块--limit (防止DDOS攻击)

l
 linjin200
发布于 01/12 08:32
字数 1760
阅读 13
收藏 0

Nginx限制访问速率和最大并发连接数模块--limit (防止DDOS攻击)

Tengine版本采用http_limit_req_module进行限制

具体连接请参考 http://tengine.taobao.org/document_cn/http_limit_req_cn.html

和官方nginx类似,不过支持多个变量,并且支持多个limit_req_zone的设置。比如:

limit_req_zone $binary_remote_addr zone=one:3m rate=1r/s;
limit_req_zone $binary_remote_addr $uri zone=two:3m rate=1r/s;               # $uri:不带客户端请求参数
limit_req_zone $binary_remote_addr $request_uri zone=thre:3m rate=1r/s;      # $request_uri:带客户端请求参数

上面的第二个指令表示当相同的ip地址并且访问相同的uri,会导致进入limit req的限制(每秒1个请求)。

 

-----------------------------------------------------------------------------------------

Nginx官方版本限制IP的连接和并发分别有两个模块:

点击以下超链接可查看对应模块的官方详细介绍

  • limit_req_zone 用来限制单位时间内的请求数,即速率限制,采用的漏桶算法 "leaky bucket"

  • limit_req_conn 用来限制同一时间连接数,即并发限制

 

其中limit_req_conn模块可以根据源IP限制单用户并发访问的连接数或连接到该服务的总并发连接数

 ​什么是漏桶算法?

我们假设系统是一个漏桶,当请求到达时,就是往漏桶里“加水”,而当请求被处理掉,就是水从漏桶的底部漏出。水漏出的速度是固定的,当“加水”太快,桶就会溢出,也就是“拒绝请求”。从而使得桶里的水的体积不可能超出桶的容量。​主要目的是控制数据注入到网络的速率,平滑网络上的突发流量。漏桶算法提供了一种机制,通过它,突发流量可以被整形以便为网络提供一个稳定的流量。

示例如下:

http {

limit_conn_log_level error;

limit_conn_status 503;

limit_conn_zone $binary_remote_addr zone=one:10m;

limit_conn_zone $server_name zone=perserver:10m;

limit_req_zone $binary_remote_addr zone=allips:100m   rate=10r/s;   其中$binary_remote_addr有时需要根据自己已有的log_format变量配置进行替换

 

server {

                  …………………….

                limit_conn  one  100;                                              

limit_conn perserver 1000;

                  limit_req   zone=allips  burst=5  nodelay;

               ………………….

}

}

参数解释:

Zone=one或allips 表示设置了名为“one”或“allips”的存储区,大小为10兆字节

rate=10r/s 的意思是允许1秒钟不超过10个请求

burst=5 表示最大延迟请求数量不大于5。  如果太过多的请求被限制延迟是不需要的 ,这时需要使用nodelay参数,服务器会立刻返回503状态码。

limit_conn  one  100表示最大并发连接数100

limit_conn perserver 1000表示该服务提供的总连接数不得超过1000,超过请求的会被拒绝

 

-----------------------------------------------------------------------------------------------------------

示例如下:   

http {

limit_req_zone $binary_remote_addr zone=one:100m   rate=10r/m;

 

server {

                  …………………….

                  …………………….

          limit_req   zone=one  burst=1  nodelay;

    ………………….

}

}

rate=10r/m 的意思是允许1秒钟不超过1个请求,最大延迟请求数量不大于5.

如果请求不需要被延迟,添加nodelay参数,服务器会立刻返回503状态码。如果没有该字段会造成大量的tcp连接请求等待。

 

http{
limit_zone one  $binary_remote_addr  10m;
server
{
......
limit_conn  one  1;
......
}
   }

这里的 one 是声明一个 limit_zone 的名字,$binary_remote_addr是替代 $remore_addr 的变量,10m 是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1, allow only one connection per an IP address at a time(每次).

 

d)按照字面的理解,lit_req_zone的功能是通过漏桶原理来限制用户的连接频率,(这个模块允许你去限制单个地址指定会话或特殊需要的请求数 )
而 limit_zone 功能是限制一个客户端的并发连接数。(这个模块可以限制单个地址的指定会话或者特殊情况的并发连接数)
一个是限制并发连接一个是限制连接频率,表面上似乎看不出来有什么区别,那就看看实际的效果吧~~~
在我的测试机上面加上这两个参数下面是我的部分配置文件

e)http{
limit_zone one  $binary_remote_addr  10m;
#limit_req_zone  $binary_remote_addr  zone=req_one:10m rate=1r/s;
server
{
......
limit_conn   one  1;
#limit_req   zone=req_one  burst=120;
......
}
}

f)解释一下 limit_zone one  $binary_remote_addr  10m;
这里的 one 是声明一个 limit_zone 的名字,$binary_remote_addr是替代 $remore_addr 的变量,10m是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1

二、limit_zone两种工作情况

a)limit_reqzone=one burst=10 ;

i.默认情况下是这样配置的,这样每个请求就会有一个delay时间,

limit_req_zone$binary_remote_addr zone=one:100m rate=10r/m;

就是每分钟有10个令牌供用户使用,按照a的配置情况,就会有一个delay,每个请求时间就是60/10,那每个请求时间就是6s。

b)limit_reqzone=one burst=10 nodelay;

i.添加nodelay配置,这样就是根据你的网络状况访问,一分钟访问够10次后,服务器直接返回503。

ii.Eg:imit_req_zone$binary_remote_addr zone=one:100m rate=10r/m;

就是每分钟有10个令牌供用户使用,按照b的配置情况,就会根据网络情况访问url,如果一分钟超过10个令牌,服务器返回503,等待下一个一分钟领取访问令牌。

 

rate=10r/m 的意思是每个地址每分钟只能请求10次,也就是说根据漏桶原理burst=1 一共有1块令牌,并且每分钟只新增10块令牌,
1块令牌发完后多出来的那些请求就会返回503

加上 nodelay之后超过 burst大小的请求就会直接返回503,如果没有该字段会造成大量的tcp连接请求等待。

 

复制代码

http{
    ...
    #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
    #以$binary_remote_addr 为key,限制平均每秒的请求为20个,
    #1M能存储16000个状态,rete的值必须为整数,
    #如果限制两秒钟一个请求,可以设置成30r/m
    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    ...
    server{
        ...
        location {
            ...
            #限制每ip每秒不超过20个请求,漏桶数burst为5
            #brust的意思就是,如果第1秒、2,3,4秒请求为19个,
            #第5秒的请求为25个是被允许的。
            #但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。
            #nodelay,如果不设置该选项,严格使用平均速率限制请求数,
            #第1秒25个请求时,5个请求放到第2秒执行,
            #设置nodelay,25个请求将在第1秒执行。
            limit_req zone=allips burst=5 nodelay;
            ...
        }
        ...
    }
    ...
}

复制代码

 

参考链接: http://blog.csdn.net/loophome/article/details/50767907 

-------------------------------------------------------------------

限制下载速度:

location /download { 
    limit_rate 128k; 
  } 

#如果想设置用户下载文件的前10m大小时不限速,大于10m后再以128kb/s限速可以增加以下配内容,修改nginx.conf文件

location /download { 
       limit_rate_after 10m; 
       limit_rate 128k; 
 }  


分类: Nginx

© 著作权归作者所有

共有 人打赏支持
l
粉丝 17
博文 502
码字总数 567062
作品 0
福州
程序员
私信 提问
nginx 防ddos攻击

介绍Centos+Nginx下如何快 速有效得防御CC攻击。至于如何安装Nginx就不详细介绍了,有兴趣的读者可以在Nginx官方网站(http://www.nginx.org/)下 载源代码进行编译。如果你使用的是Centos5...

杜弥
2018/01/12
0
0
nginx防止部分DDOS攻击

策略: 1)利用ngxhttplimitreqmodule模块限制请求的速率和请求连接数 配置参照:http://nginx.org/en/docs/http/ngxhttplimitreqmodule.html#limitreqzone 2)利用ngxhttplimitconnmodule模...

阿宇_
2015/09/20
122
0
使用请求限制保护 Nginx 不被 Flood 攻击

测试 我会简单的告诉你如何配置Nginx的限制请求模块并且它是如何保护你的网站,防止你被攻击与DDOS或是其他基于HTTP的拒绝服务攻击。 这个测试中,我将样本页在保存在Blitz.io(现在是免费服...

旋转360
2013/11/06
6.2K
5
高并发系统限流设计

欢迎访问我的博客查看原文:http://wangnan.tech 概述 高并发系统时有三把利器用来保护系统:缓存、降级和限流,缓存的目的是提升系统访问速度和增大系统能处理的容量,降级是当服务出问题或...

wanna
2017/10/25
0
0
nginx限制客户端请求数+iptables限制TCP连接和频率来防止DDOS

DDOS的特点是分布式,针对带宽和服务×××,即四层流量×××和七层应用×××。对于七层的应用×××,如果前端是Nginx,主要使用nginx的httplimitconn和httplimitreq模块来防御,通过限制...

justin_peng
2018/08/03
0
0

没有更多内容

加载失败,请刷新页面

加载更多

大数据教程(11.9)hive操作基础知识

上一篇博客分享了hive的简介和初体验,本节博主将继续分享一些hive的操作的基础知识。 DDL操作 (1)创建表 #建表语法CREATE [EXTERNAL] TABLE [IF NOT EXISTS] table_name [(col_name ...

em_aaron
今天
0
0
OSChina 周四乱弹 —— 我家猫真会后空翻

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @我没有抓狂 :#今天听这个# 我艇牛逼,百听不厌,太好听辣 分享 Led Zeppelin 的歌曲《Stairway To Heaven》 《Stairway To Heaven》- Led Z...

小小编辑
今天
1
0
node调用dll

先安装python2.7 安装node-gyp cnpm install node-gyp -g 新建一个Electron-vue项目(案例用Electron-vue) vue init simulatedgreg/electron-vue my-project 安装electron-rebuild cnpm ins......

Chason-洪
今天
3
0
scala学习(一)

学习Spark之前需要学习Scala。 参考学习的书籍:快学Scala

柠檬果过
今天
3
0
通俗易懂解释网络工程中的技术,如STP,HSRP等

导读 在面试时,比如被问到HSRP的主备切换时间时多久,STP几个状态的停留时间,自己知道有这些东西,但在工作中不会经常用到,就老是记不住,觉得可能还是自己基础不够牢固,知识掌握不够全面...

问题终结者
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部