一、简介对于网站来说 , 尤其是流量较大出名的网站 , 经常遇到攻击 , 如DDoS攻击等 , 虽然有些第三方 , 如Cloudflare可以挡 , 但对于动态网站php来说 , 只能挡一部分 。这时候需要对于单个IP恶意攻击做出限流 。Nginx的两个模块可以限流 。
nginx两个限流模块:
连接频率限制 ,
ngx_http_limit_conn_module:官方文档:https://nginx.org/en/docs/http/ngx_http_limit_conn_module.html
请求频率限制 , ngx_http_limit_req_module:官方文档:
https://nginx.org/en/docs/http/ngx_http_limit_req_module.html
二、两者模块区别
首先理解请求和连接 , HTTP请求建立在一次TCP连接基础上 , 一次TCP连接至少产生一次HTTP请求(1次或多次)网上理论很多 , 根据名字可知:
- connection是连接 , 即常说的tcp连接 , 通过三次握手而建立的一个完整状态机 。建立一个连接 , 必须要三次握手 。
- request是指请求 , 即http请求,tcp连接是有状态的 , 而构建在tcp之上的http却是无状态的协议 。
- limit_req_zone , 在 有限的时间 内限制 , 单个IP每秒或者每分钟只能发出多少请求 。多的一概不理会 。
- limit_conn_zone , 不限时间 , 只允许单个IP这么多个连接 , 或者称为并发 。如:设置10个连接 , 第11个连接时 , 必须等前面有一个已经完成或者释放后 , 这个连接才能允许 。
比如只使用请求频率限制 , 可以精确地限制同一ip1秒只能发起5次的http请求 , 假如同一ip1秒内发起了100000次请求 , 虽然限制了只有5次成功响应 , 但是其他的99995次的请求TCP握手建立http连接是不是会消耗服务器资源? 所以还需要配合使用 。
三、配置1、limit_req_zone , 示例:
http{limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;#定义一个名为allips的limit_req_zone用来存储session , 大小是10M内存 , #以$binary_remote_addr 为key,限制平均每秒的请求为20个 , #1M能存储16000个状态 , rete的值必须为整数 , #如果限制两秒钟一个请求 , 可以设置成30r/mserver{location / {#限制每ip每秒不超过20个请求 , 漏桶数burst为5#brust的意思就是 , 如果第1秒、2,3,4秒请求为19个 , #第5秒的请求为25个是被允许的 。#但是如果你第1秒就25个请求 , 第2秒超过20的请求返回503错误 。#nodelay , 如果不设置该选项 , 严格使用平均速率限制请求数 , #第1秒25个请求时 , 5个请求放到第2秒执行 , #设置nodelay , 25个请求将在第1秒执行 。limit_req zone=allips burst=5 nodelay;}}}2、limit_conn_zone , 示例:http {limit_conn_zone $binary_remote_addr zone=addr:10m;#定义一个名为addr的limit_req_zone用来存储session , 大小是10M内存 , #以$binary_remote_addr 为key#nginx 1.18以后用limit_conn_zone替换了limit_conn,#且只能放在http{}代码段.server {location / {limit_conn addr 10;#连接数限制 , 并发数#设置给定键值的共享内存区域和允许的最大连接数 。超出此限制时 , 服务器将返回503(服务临时不可用)错误.#如果区域存储空间不足 , 服务器将返回503(服务临时不可用)错误}}} 3、搭配一起使用http {......limit_req_zone $binary_remote_addr zone=req_zone:1m rate=20r/s;#限制连接请求设置 , 访问内存10M,所有访问ip 限制每秒10个请求limit_conn_zone $binary_remote_addr zone=addr:10m;#限制连接IP设置......server {listen80;server_nameywbj.cc;location / {...limit_req zone=req_zone burst=5 nodelay;limit_conn addr 5;...}}}四、压力测试工具1、ab命令ab是Apache自带的压力测试工具 。一般不用额外安装 , ab非常实用 , 它不仅可以对apache服务器进行网站访问压力测试 , 也可以对或其它类型的服务器进行压力测试 。比如nginx、Tomcat、IIS等 。
推荐阅读
- 如何恢复网站浏览记录?
- 苹果|标准版成丐中丐!iPhone 14系列配置图出炉:低配依然60Hz刘海屏、无缘A16
- 阿里云服务器使用nginx部署vue,第一次正常访问,刷新的时候404
- 一文讲清楚SpringBoot六种读取配置方式
- 阻碍网站权重传递的罪魁祸首你都知道吗?
- 欧姆龙NJ/NX控制器如何使用软件进行系统配置?
- 深信服防火墙配置上网及端口映射
- 了解路由器的寻址转发,学习默认路由、静态路由的配置部署
- Jumpserver堡垒机安装与配置
- ROG|枪神6 Plus新版将配置满血版RTX 3080 Ti!ROG夏季发布会定档5月17日