经由设置nginx 抵抗不正当恳求

 ngx_http_limit_conn_module模块

使用此模块主要用来限度每秒恳求数目,至于依据什么前提限度是由咱们来自界说的。

官方文档

中文翻译的

文档讲的很详细了,大致说下:

limit_req_zone $variable zone=name:size rate=rate;

命令的意思是,以$variable变量为前提,起名为name,设置的存储空间大小为size,设置限定频率为rate;

咱们能够设置**多个,差别前提,差别名称,差别大小的限度**。

这个界说咱们是需要写在**http设置段中**。

在匹配的location中写上limit_req zone=name [burst=number] [nodelay];这里burst就是允许的漏桶数,当恳求频率大于rate然而超越的数目不大于burst设置的数目,则nginx会将超越的恳求延迟后面返回。假如恳求数目超越burst了,则将超越部分直接返回错误码,默认503。至于nodelay就是设置是否要延迟,有它不超过burst的恳求才延迟。

网上大多前提都是$binary_remote_addr,其实咱们能够根据自己的需求,来界说自身的相应前提,活学活用嘛,下面会有实例。

ngx_http_limit_conn_module模块

这个模块主要限度单独ip同一的连接数

官方文档 Module ngx_http_limit_conn_module。

中文翻译的 nginx限度连接数ngx_http_limit_conn_module模块。

各位看文档吧,我的实战中没有使用此模块。

实战阶段

好了,下面进入实战阶段:

首先咱们的初始设置文件时是(不完整):
http { server { listen 8080 default_server; server_name localhost:8080; location ~ .* { proxy_pass https://127.0.0.1:8080; proxy_set_header X-Real-IP $remote_addr; } } }
咱们的需求是,有一批接口被频繁的不合法访问,咱们要做限度。

第一版:限度为1s一次恳求,漏桶数为5

http { limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { listen 8080 default_server; server_name localhost:8080; location ~ .* { proxy_pass https://127.0.0.1:8080; proxy_set_header X-Real-IP $remote_addr; } location ^~ /interface { limit_req zone=one burst=5 nodelay; proxy_pass https://127.0.0.1:8080; } } }这里加了proxy_pass https://127.0.0.1:8080;这里设置了转发,否则匹配之后会找不到服务器的。

然而如许会有个成绩,目前咱们是以ip做的限度,然而有可能网吧或者校内出口就是一个或几个ip,咱们如许限度的话会把畸形用户也限度到了,得不偿失。其实咱们能够换一种思路来定位到单一用户,畸形一个恳求过来,咱们都会设置携带一个关于用户的`token`信息。至于这个`token`是如何生成的,只有知道,那咱们加入咱们的每次恳求中,`header`中带有这个信息,`token`值,假如一个非法的恳求可能没有这个值,即使有这个值咱们也能够以`token`为前提来限度,如许更合理些。

这里加了proxy_pass https://127.0.0.1:8080;这里设置了转发,否则匹配之后会找不到服务器的。

然而如许会有个成绩,目前咱们是以ip做的限度,然而有可能网吧或者校内出口就是一个或几个ip,咱们如许限度的话会把畸形用户也限度到了,得不偿失。其实咱们能够换一种思路来定位到单一用户,畸形一个恳求过来,咱们都会设置携带一个关于用户的`token`信息。至于这个`token`是如何生成的,只有知道,那咱们加入咱们的每次恳求中,`header`中带有这个信息,`token`值,假如一个非法的恳求可能没有这个值,即使有这个值咱们也能够以`token`为前提来限度,如许更合理些。

第二版

http { limit_req_zone $http_token zone=two:10m rate=1r/s; server { listen 8080 default_server; server_name localhost:8080; location ~ .* { proxy_pass https://127.0.0.1:8080; proxy_set_header X-Real-IP $remote_addr; } location ^~ /interface { if($http_token=""){ return 403; } limit_req zone=two burst=5 nodelay; proxy_pass https://127.0.0.1:8080; } } }                                                                                                                                                                                                                                                         在nginx中,使用$http_变量名,取的就是header中相应的变量。

前方预警:我特意在这个设置中留了个坑,假如你像我如许设置的话,重启会报一个异常nginx: [emerg] unknown directive "if($http_token",很奇怪是不,这个我花了很长才解决,原因是if和(中间需要个**空格**,没错,就是这个空格花了我好几个小时,血泪的教训啊,希望各位不要再重蹈覆辙。

这个成绩的解决的文章:Nginx unknown directive “if($domain”

这次的设置,多少能够限度住的,对我一个nginx的小白来说,调研一点用一点,也是不错的。

编辑推荐】

【责任编辑: TEL:(010)68476606】

转载自:https://netsecurity.51cto.com/art/201505/477860.htm

声明: 除非转自他站(如有侵权,请联系处理)外,本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明:转自《经由设置nginx 抵抗不正当恳求
本文地址:https://www.zhiletu.com/archives-4473.html
关注公众号:智乐兔

赞赏

wechat pay微信赞赏alipay pay支付宝赞赏

上一篇
下一篇

相关文章

在线留言

你必须 登录后 才能留言!

在线客服
在线客服 X

售前: 点击这里给我发消息
售后: 点击这里给我发消息

智乐兔官微