2. 程式人生 > >Nginx中如何限制某個IP同一時間段的訪問次數

Nginx中如何限制某個IP同一時間段的訪問次數

阿新 發佈:2019-01-17

如何設定能限制某個IP某一時間段的訪問次數是一個讓人頭疼的問題,特別面對惡意的ddos攻擊的時候。其中CC攻擊(Challenge Collapsar)是DDOS(分散式拒絕服務)的一種,也是一種常見的網站攻擊方法,攻擊者通過代理伺服器或者肉雞向向受害主機不停地發大量資料包,造成對方伺服器資源耗盡,一直到宕機崩潰。

cc攻擊一般就是使用有限的ip數對伺服器頻繁傳送資料來達到攻擊的目的,nginx可以通過HttpLimitReqModul和HttpLimitZoneModule配置來限制ip在同一時間段的訪問次數來防cc攻擊。

HttpLimitReqModul用來限制連單位時間內連線數的模組,使用limit_req_zone和limit_req指令配合使用來達到限制。一旦併發連線超過指定數量,就會返回503錯誤。

HttpLimitConnModul用來限制單個ip的併發連線數,使用limit_zone和limit_conn指令

這兩個模組的區別前一個是對一段時間內的連線數限制,後者是對同一時刻的連線數限制

HttpLimitReqModul 限制某一段時間內同一ip訪問數例項

http{
    ...

    #定義一個名為allips的limit_req_zone用來儲存session,大小是10M記憶體,
    #以$binary_remote_addr 為key,限制平均每秒的請求為20個,
    #1M能儲存16000個狀態,rete的值必須為整數,
    #如果限制兩秒鐘一個請求,可以設定成30r/m

    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    ...
    server{
        ...
        location {
            ...

            #限制每ip每秒不超過20個請求,漏桶數burst為5
            #brust的意思就是,如果第1秒、2,3,4秒請求為19個,
            #第5秒的請求為25個是被允許的。
            #但是如果你第1秒就25個請求,第2秒超過20的請求返回503錯誤。
            #nodelay,如果不設定該選項,嚴格使用平均速率限制請求數,
            #第1秒25個請求時,5個請求放到第2秒執行,
            #設定nodelay,25個請求將在第1秒執行。

            limit_req zone=allips burst=5 nodelay;
            ...
        }
        ...
    }
    ...
}

HttpLimitZoneModule 限制併發連線數例項

limit_zone只能定義在http作用域,limit_conn可以定義在http server location作用域

http{
    ...

    #定義一個名為one的limit_zone,大小10M記憶體來儲存session,
    #以$binary_remote_addr 為key
    #nginx 1.18以後用limit_conn_zone替換了limit_conn
    #且只能放在http作用域
    limit_conn_zone   one  $binary_remote_addr  10m;  
    ...
    server{
        ...
        location {
            ...
           limit_conn one 20;          #連線數限制

           #頻寬限制,對單個連線限數,如果一個ip兩個連線,就是500x2k
           limit_rate 500k;            

            ...
        }
        ...
    }
    ...
}

nginx白名單設定

以上配置會對所有的ip都進行限制,有些時候我們不希望對搜尋引擎的蜘蛛或者自己測試ip進行限制,
對於特定的白名單ip我們可以藉助geo指令實現。
1.

http{
     geo $limited{
        default 1;
        #google 
        64.233.160.0/19 0;
        65.52.0.0/14 0;
        66.102.0.0/20 0;
        66.249.64.0/19 0;
        72.14.192.0/18 0;
        74.125.0.0/16 0;
        209.85.128.0/17 0;
        216.239.32.0/19 0;
        #M$
        64.4.0.0/18 0;
        157.60.0.0/16 0;
        157.54.0.0/15 0;
        157.56.0.0/14 0;
        207.46.0.0/16 0;
        207.68.192.0/20 0;
        207.68.128.0/18 0;
        #yahoo
        8.12.144.0/24 0;
        66.196.64.0/18 0;
        66.228.160.0/19 0;
        67.195.0.0/16 0;
        74.6.0.0/16 0;
        68.142.192.0/18 0;
        72.30.0.0/16 0;
        209.191.64.0/18 0;
        #My IPs
        127.0.0.1/32 0;
        123.456.0.0/28 0; #example for your server CIDR
    }

geo指令定義了一個白名單$limited變數,預設值為1,如果客戶端ip在上面的範圍內,$limited的值為0

2.使用map指令對映搜尋引擎客戶端的ip為空串,如果不是搜尋引擎就顯示本身真是的ip,這樣搜尋引擎ip就不能存到limit_req_zone記憶體session中,所以不會限制搜尋引擎的ip訪問

map $limited $limit {
1 $binary_remote_addr;
0 "";
}

3.設定limit_req_zone和limit_req
limit_req_zone $limit zone=foo:1m rate=10r/m;

limit_req zone=foo burst=5;

最後我們使用abphp-fpm的方式,對上面的方法效果實際測試下

例1:限制只允許一分鐘內只允許一個ip訪問60次配置,也就是平均每秒1次
首先我們準備一個php指令碼放在根目錄下$document_root
test.php

for( $i=0; $i < 1000; $i++)
echo 'Hello World';
?>

nginx配置增加limit_req_zone 和 limit_req

http{
    ...
    limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
    ...
    server{
        ...
        location {
            ...
            limit_req zone=allips;
            ...
        }
        ...
    }
    ...
}

ab -n 5 -c 1 http://www.weizhang.org/test.php

118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"

未設定brust和nodelay可以看到該配置只允許每秒訪問1次,超出的請求返回503錯誤

http{
    ...
    limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
    ...
    server{
        ...
        location {
            ...
            limit_req zone=allips burst=1 nodelay;
            ...
        }
        ...
    }
    ...
}

ab -n 5 -c 1 http://www.weizhang.org/test.php

118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"

設定brust=1和nodelay後允許第1秒處理兩個請求。

相關推薦

Nginx如何限制某個IP同一時間段訪問次數

如何設定能限制某個IP某一時間段的訪問次數是一個讓人頭疼的問題,特別面對惡意的ddos攻擊的時候。其中CC攻擊(Challenge Collapsar)是DDOS(分散式拒絕服務)的一種,也是一種常見的網站攻擊方法,攻擊者通過代理伺服器或者肉雞向向受害主機不停地發大量資料

nginx限制某個IP同一時間段訪問次數

如何設定能限制某個IP某一時間段的訪問次數是一個讓人頭疼的問題,特別面對惡意的ddos攻擊的時候。其中CC攻擊(Challenge Collapsar)是DDOS(分散式拒絕服務)的一種,也是一種常見的網站攻擊方法,攻擊者通過代理伺服器或者肉雞向向受害主機不停地發大量資料包

nginx,配置ip多埠訪問

1、新增server server { listen 8001; server_name localhost; root /home/ebayerp; location / { index

如何阻止某個IP訪問我的電腦-用本地安全策略限制某個IP

host win tin icmp 通訊協議 tina bytes 系統 建立 方法一:通過windows自帶的安全策略限制打開本地安全設置,點“IP安全策略,在本地機器”——>創建IP安全策略---->下一步---->名稱隨便寫,如輸入阻止,然後一直點下

nginx 僅允許某個IP訪問

1. 開啟 nginx 配置檔案 sudo vi /etc/nginx/site-available/default 2. 編輯default 配置檔案(增加如下兩行程式碼) loca

Kubernetes暴露外部IP地址來訪問叢集的應用_Kubernetes中文社群

本文是Kubernetes.io官方文件中介紹如何建立暴露外部IP地址的Kubernetes Service 物件。 學習目標 執行Hello World應用程式的五個例項。 建立一個暴露外部IP地址的Service物件。 使用Service物件訪問正在執行的應用程式。 準備工作 使用

Nginx獲取真實IP

server { listen 80; server_name localhost; location /{ root html; index index.html index.htm;

ip統計網站訪問次數

troy 服務啟動 工作 統計 地址 ext contain com ini package web.listener; import javax.servlet.ServletContext; import javax.servlet.ServletContextEv

設定時間段同一IP訪問次數限制同一IP的操作次數限制

設定時間段內同一IP的訪問次數限制: 主要使用httpservlet和timer task來記錄並且執行定時(時間段比如60s)訪問次數(比如最大為10),然後超出則丟擲異常。 同一IP的操作次數限制: 主要用資料庫(ip,時間計算,操作次數,備註資訊),來實現限制

nginx禁止某個IP某個IP訪問網站

我們經常會需要把某個IP禁止不讓訪問我們的網站,下面我來給大家介紹在nginx中怎麼實現禁止某個IP或某個IP段訪問網站吧,有需要了解的朋友可參考禁止單個IP的寫法:程式碼如下deny x.x.x.x;禁止IP段的寫法:程式碼如下deny 10.0.0.0/24;也可以實現

nginx限制每個ip訪問的頻率和併發量

http{ ... limit_req_zone$binary_remote_addr zone=allips:10m rate=20r/s; 解釋:#定義一個名為allips的limit_req_zone用來儲存session,大小是10M記憶體,

使用python找出nginx訪問日誌訪問次數最多的10個ip排序生成網頁

#encoding=utf-8 # 找到日誌中的top 10,日誌格式如下 #txt = '''100.116.167.9 - - [22/Oct/2017:03:55:53 +0800] "HEAD /check HTTP/1.0" 200 0 "-" "-" "-" ut = 0.001''' #n

VMWareCentOS7 設置固定IP且能夠訪問外網

tro 訪問 resolv ip地址分配 http 分配 外網 技術 .com 最近搭建kubernetes集群環境時遇到一個問題,CentOS7在重啟後IP發生變化導致集群中etcd服務無法啟動後集群環境變得不可用,針對這種情況,必須要對CentOS7設置固定I

使用awk統nginx日誌文件ip訪問站點次數

nginx web ip次數 awk | 表示分隔符,$4表示第四列awk -F"|" ‘{count[$4]++}END{for (ip in count) {printf "%-20s:%d\n",ip,count[ip]}}‘ access_log本文出自 “Linux 系統運維” 博

Nginx配置二級目錄/路徑 映射不同的反向代理和規避IP+端口訪問

nbsp ade 直接 窗口 返回 ngs remote 測試 span 當配置Nginx來映射不同的服務器 可以通過二級路徑來反向代理 來解決一個外網端口實現多個服務訪問。 配置如下: server { listen 80; ser

python腳本分析Nginx的每個IP訪問次數

分析 python nginx 目的介紹: 用python腳本對nginx的access_log日誌分析,獲取到每個IP的訪問次數,將IP和訪問次數構建一個字典,最後對字典排序輸入。#!/usr/bin/env python #-*-coding:utf8-*- """ 分析Nginx等Web

wdcp後臺訪問安全設置即限制域名/IP訪問設置及清除方法

tools 所有 如何 保存 min 訪問限制 上網 開始 style wdcp後臺訪問安全設置即限制域名/IP訪問設置及清除方法wdcp後臺默認是用到8080端口的(可自行修改)但搜索引擎的強大,有些連這個也給收錄進來了所以,之前就人反饋,如何限制這個後臺的訪問wdcp從

nginx + lua 限制訪問

lua nginx local redis = require ‘resty.redis‘ local cache = redis.new() local ok ,err = cache.connect(cache,‘127.0.0.1‘,‘6379‘) cache:set_timeout(600

Python分析NGINX日誌裏面相同IP第一次訪問時間和最後一次訪問時間

NGINX 日誌分析 Python 有個小夥伴在群裏問如何分析一下相同IP訪問NGINX的第一次訪問時間和最後一次訪問時間,折騰了好一會最後寫出來測試一下,OK沒問題的,所以就記錄在這裏。思路:1、文件讀取2、先找出只訪問一次的 只有一次時間3、訪問多次的 尋找開始時間和 最後一次時間

python統計apache、nginx訪問日誌IP訪問次數並且排序(顯示前20條)

als apache orm item lambda roo oot ipaddr str 前言:python統計apache、nginx訪問日誌IP訪問次數並且排序(顯示前20條)。其實用awk+sort等命令可以實現,用awk數組也可以實現,這裏只是用python嘗試下