nginx配置访问频率

nginx可以通过limit_conn_zone和limit_req_zone两个组件来限制客户端访问服务端的目录和文件的频率和次数,能够抵挡住部分cc、ddos攻击。

限制访问频率:

http{
... #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
#以$binary_remote_addr 为key,限制平均每秒的请求为20个,
#1M能存储16000个状态,rete的值必须为整数,
#如果限制两秒钟一个请求,可以设置成30r/m limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
...
server{
...
location {
... #限制每ip每秒不超过20个请求,漏桶数burst为5
#brust的意思就是当每秒超过20个请求时,5个以内的请求会被延迟访问,超过5个的直接返回503
#nodelay,设置该选项,将严格使用平均速率限制请求数,超过请求频率的直接返回503
limit_req zone=allips burst=5 nodelay;
...
}
...
}
...
} #注意配置的作用域

注意:发送请求频率高于(1000ms/20r)ms/r 直接返回503

限制并发连接数:

http{
... #定义一个名为all_zone的limit_zone,大小10M内存来存储session,
#nginx 1.18以后用limit_conn_zone替换了limit_conn
limit_conn_zone   all_zone  $binary_remote_addr  10m;  
...
server{
...
location {
...
limit_conn all_zone 20;          #连接数限制 #带宽限制,对单个连接限数,限制带宽上限500k
limit_rate 500k;            ...
}
...
}
...
}

配置访问白名单:

nginx需支持geo模块;

http{
    ...
geo  $limited  {
default 1;
127.0.0.1 0;
172.31.105.247/32 0;
include /etc/nginx/whiteip;
}
map $limited $limit {
1 $binary_remote_addr;
0 "";
}
limit_req_zone $limit zone=allips:20m rate=100r/m;
...
    server{
...
location {
...
limit_req zone=allips burst=100 ;                  
...
}
 
}
/etc/nginx/whiteip:
18.195.104.195/32 0;
18.196.102.154/32 0;
54.93.227.18/32 0;

如果nginx上层还有ELB(aws)或SLB(aliyun),需在nginx配置中添加:

set_real_ip_from  172.31.0.0/16;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
#配置对于从172.31.0.0/16 这个ip段过来的请求,remote_addr的字段的值从 X-Forwarded-For 中取
上一篇:ubuntu或者debian安装php-gd扩展错误


下一篇:李洪强iOS之集成极光推送二iOS 证书 设置指南