nginx限制某個IP同一時間段的訪問次數
如何設定能限制某個IP某一時間段的訪問次數是一個讓人頭疼的問題,特別面對惡意的ddos攻擊的時候。其中CC攻擊(Challenge Collapsar)是DDOS(分散式拒絕服務)的一種,也是一種常見的網站攻擊方法,攻擊者通過代理伺服器或者肉雞向向受害主機不停地發大量資料包,造成對方伺服器資源耗盡,一直到宕機崩潰。
cc攻擊一般就是使用有限的ip數對伺服器頻繁傳送資料來達到攻擊的目的,nginx可以通過HttpLimitReqModul和HttpLimitZoneModule配置來限制ip在同一時間段的訪問次數來防cc攻擊。
HttpLimitReqModul用來限制連單位時間內連線數的模組,使用limit_req_zone和limit_req指令配合使用來達到限制。一旦併發連線超過指定數量,就會返回503錯誤。
HttpLimitConnModul用來限制單個ip的併發連線數,使用limit_zone和limit_conn指令
這兩個模組的區別前一個是對一段時間內的連線數限制,後者是對同一時刻的連線數限制
HttpLimitReqModul 限制某一段時間內同一ip訪問數例項
http{
...
#定義一個名為allips的limit_req_zone用來儲存session,大小是10M記憶體,
#以$binary_remote_addr 為key,限制平均每秒的請求為20個,
#1M能儲存16000個狀態,rete的值必須為整數,
#如果限制兩秒鐘一個請求,可以設定成30r/m
limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
...
server{
...
location {
...
#限制每ip每秒不超過20個請求,漏桶數burst為5
#brust的意思就是,如果第1秒、2,3,4秒請求為19個,
#第5秒的請求為25個是被允許的。
#但是如果你第1秒就25個請求,第2秒超過20的請求返回503錯誤。
#nodelay,如果不設定該選項,嚴格使用平均速率限制請求數,
#第1秒25個請求時,5個請求放到第2秒執行,
#設定nodelay,25個請求將在第1秒執行。
limit_req zone=allips burst=5 nodelay;
...
}
...
}
...
}HttpLimitZoneModule 限制併發連線數例項
limit_zone只能定義在http作用域,limit_conn可以定義在http server location作用域
http{
...
#定義一個名為one的limit_zone,大小10M記憶體來儲存session,
#以$binary_remote_addr 為key
#nginx 1.18以後用limit_conn_zone替換了limit_conn
#且只能放在http作用域
limit_conn_zone one $binary_remote_addr 10m;
...
server{
...
location {
...
limit_conn one 20; #連線數限制
#頻寬限制,對單個連線限數,如果一個ip兩個連線,就是500x2k
limit_rate 500k;
...
}
...
}
...
}nginx白名單設定
以上配置會對所有的ip都進行限制,有些時候我們不希望對搜尋引擎的蜘蛛或者自己測試ip進行限制,
對於特定的白名單ip我們可以藉助geo指令實現。
1.
http{
geo $limited{
default 1;
#google
64.233.160.0/19 0;
65.52.0.0/14 0;
66.102.0.0/20 0;
66.249.64.0/19 0;
72.14.192.0/18 0;
74.125.0.0/16 0;
209.85.128.0/17 0;
216.239.32.0/19 0;
#M$
64.4.0.0/18 0;
157.60.0.0/16 0;
157.54.0.0/15 0;
157.56.0.0/14 0;
207.46.0.0/16 0;
207.68.192.0/20 0;
207.68.128.0/18 0;
#yahoo
8.12.144.0/24 0;
66.196.64.0/18 0;
66.228.160.0/19 0;
67.195.0.0/16 0;
74.6.0.0/16 0;
68.142.192.0/18 0;
72.30.0.0/16 0;
209.191.64.0/18 0;
#My IPs
127.0.0.1/32 0;
123.456.0.0/28 0; #example for your server CIDR
}
geo指令定義了一個白名單$limited變數,預設值為1,如果客戶端ip在上面的範圍內,$limited的值為0
2.使用map指令對映搜尋引擎客戶端的ip為空串,如果不是搜尋引擎就顯示本身真是的ip,這樣搜尋引擎ip就不能存到limit_req_zone記憶體session中,所以不會限制搜尋引擎的ip訪問
map $limited $limit {
1 $binary_remote_addr;
0 "";
}
3.設定limit_req_zone和limit_req
limit_req_zone $limit zone=foo:1m rate=10r/m;
limit_req zone=foo burst=5;
最後我們使用ab壓php-fpm的方式,對上面的方法效果實際測試下
例1:限制只允許一分鐘內只允許一個ip訪問60次配置,也就是平均每秒1次
首先我們準備一個php指令碼放在根目錄下$document_root
test.php
for( $i=0; $i < 1000; $i++)
echo 'Hello World';
?>
nginx配置增加limit_req_zone 和 limit_req
http{
...
limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
...
server{
...
location {
...
limit_req zone=allips;
...
}
...
}
...
}
ab -n 5 -c 1 http://www.weizhang.org/test.php
118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
未設定brust和nodelay可以看到該配置只允許每秒訪問1次,超出的請求返回503錯誤
http{
...
limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
...
server{
...
location {
...
limit_req zone=allips burst=1 nodelay;
...
}
...
}
...
}
ab -n 5 -c 1 http://www.weizhang.org/test.php
118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
設定brust=1和nodelay後允許第1秒處理兩個請求。