Nginx限制访问速率和最大并发连接数模块--limit (防止DDOS攻击)
2017-11-15 15:44
330 查看
Nginx限制访问速率和最大并发连接数模块–limit (防止DDOS攻击)
Tengine版本采用http_limit_req_module进行限制
具体连接请参考 http://tengine.taobao.org/document_cn/http_limit_req_cn.html和官方nginx类似,不过支持多个变量,并且支持多个limit_req_zone的设置。比如:
limit_req_zone $binary_remote_addr zone=one:3m rate=1r/s; limit_req_zone $binary_remote_addr $uri zone=two:3m rate=1r/s; # $uri:不带客户端请求参数 limit_req_zone $binary_remote_addr $request_uri zone=thre:3m rate=1r/s; # $request_uri:带客户端请求1
2
3
参数
上面的第二个指令表示当相同的ip地址并且访问相同的uri,会导致进入limit req的限制(每秒1个请求)。Nginx官方版本限制IP的连接和并发分别有两个模块:
点击以下超链接可查看对应模块的官方详细介绍
limit_req_zone 用来限制单位时间内的请求数,即速率限制,采用的漏桶算法 “leaky bucket”
limit_req_conn 用来限制同一时间连接数,即并发限制
其中limit_req_conn模块可以根据源IP限制单用户并发访问的连接数或连接到该服务的总并发连接数
什么是漏桶算法?
我们假设系统是一个漏桶,当请求到达时,就是往漏桶里“加水”,而当请求被处理掉,就是水从漏桶的底部漏出。水漏出的速度是固定的,当“加水”太快,桶就会溢出,也就是“拒绝请求”。从而使得桶里的水的体积不可能超出桶的容量。主要目的是控制数据注入到网络的速率,平滑网络上的突发流量。漏桶算法提供了一种机制,通过它,突发流量可以被整形以便为网络提供一个稳定的流量。
示例如下:
http {
limit_conn_log_level error;
limit_conn_status 503;
limit_conn_zone $binary_remote_addr zone=one:10m;
limit_conn_zone $server_name zone=perserver:10m;
limit_req_zone $binary_remote_addr zone=allips:100m rate=10r/s; 其中$binary_remote_addr有时需要根据自己已有的log_format变量配置进行替换
server {
…………………….
limit_conn one 100;
limit_conn perserver 1000;
limit_req zone=allips burst=5 nodelay;
………………….
}
}12
3
4
5
6
7
8
9
10
11
12
13
14
参数解释:
Zone=one或allips 表示设置了名为“one”或“allips”的存储区,大小为10兆字节 rate=10r/s 的意思是允许1秒钟不超过10个请求
burst=5 表示最大延迟请求数量不大于5。 如果太过多的请求被限制延迟是不需要的 ,这时需要使用nodelay参数,服务器会立刻返回503状态码。
limit_conn one 100表示最大并发连接数100
limit_conn perserver 1000表示该服务提供的总连接数不得超过1000,超过请求的会被拒绝
示例如下:
http {
limit_req_zone $binary_remote_addr zone=one:100m rate=10r/m;
server {
…………………….
…………………….
limit_req zone=one burst=1 nodelay;
………………….
}
}12
3
4
5
6
7
8
9
rate=10r/m 的意思是允许1秒钟不超过1个请求,最大延迟请求数量不大于5.
如果请求不需要被延迟,添加nodelay参数,服务器会立刻返回503状态码。如果没有该字段会造成大量的tcp连接请求等待。
http{
limit_zone one $binary_remote_addr 10m;
server
{
......
limit_conn one 1;
......
}
}12
3
4
5
6
7
8
9
这里的 one 是声明一个 limit_zone 的名字,
$binary_remote_addr是替代
$remore_addr的变量,10m
是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1, allow only one connection per an IP address at a time(每次).
按照字面的理解,lit_req_zone的功能是通过漏桶原理来限制用户的连接频率,(这个模块允许你去限制单个地址指定会话或特殊需要的请求数 )
而 limit_zone 功能是限制一个客户端的并发连接数。(这个模块可以限制单个地址的指定会话或者特殊情况的并发连接数)
一个是限制并发连接一个是限制连接频率,表面上似乎看不出来有什么区别,那就看看实际的效果吧~~~
在我的测试机上面加上这两个参数下面是我的部分配置文件
http{
limit_zone one $binary_remote_addr 10m;
#limit_req_zone $binary_remote_addr zone=req_one:10m rate=1r/s;
server
{
......
limit_conn one 1;
#limit_req zone=req_one burst=120;
......
}
}12
3
4
5
6
7
8
9
10
11
解释一下 limit_zone one
$binary_remote_addr 10m;
这里的 one 是声明一个 limit_zone 的名字,
$binary_remote_addr是替代
$remore_addr的变量,10m是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1
limit_zone两种工作情况
limit_reqzone=one burst=10 ; i.默认情况下是这样配置的,这样每个请求就会有一个delay时间,
limit_req_zone$binary_remote_addr zone=one:100m rate=10r/m;
就是每分钟有10个令牌供用户使用,按照a的配置情况,就会有一个delay,每个请求时间就是60/10,那每个请求时间就是6s。
limit_reqzone=one burst=10 nodelay;
a). 添加nodelay配置,这样就是根据你的网络状况访问,一分钟访问够10次后,服务器直接返回503。
b). Eg:imit_req_zone$binary_remote_addr zone=one:100m rate=10r/m;
就是每分钟有10个令牌供用户使用,按照b的配置情况,就会根据网络情况访问url,如果一分钟超过10个令牌,服务器返回503,等待下一个一分钟领取访问令牌。
rate=10r/m 的意思是每个地址每分钟只能请求10次,也就是说根据漏桶原理burst=1 一共有1块令牌,并且每分钟只新增10块令牌,
1块令牌发完后多出来的那些请求就会返回503
加上 nodelay之后超过 burst大小的请求就会直接返回503,如果没有该字段会造成大量的tcp连接请求等待。
http{
...
#定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
#以$binary_remote_addr 为key,限制平均每秒的请求为20个,
#1M能存储16000个状态,rete的值必须为整数,
#如果限制两秒钟一个请求,可以设置成30r/m
limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
...
server{
...
location {
...
#限制每ip每秒不超过20个请求,漏桶数burst为5
#brust的意思就是,如果第1秒、2,3,4秒请求为19个,
#第5秒的请求为25个是被允许的。
#但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。
#nodelay,如果不设置该选项,严格使用平均速率限制请求数,
#第1秒25个请求时,5个请求放到第2秒执行,
#设置nodelay,25个请求将在第1秒执行。
limit_req zone=allips burst=5 nodelay;
...
}
...
}
...
}12
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
限制下载速度:
location /download {
limit_rate 128k;
}12
3
如果想设置用户下载文件的前10m大小时不限速,大于10m后再以128kb/s限速可以增加以下配内容,修改nginx.conf文件
location /download {
limit_rate_after 10m;
limit_rate 128k;
}12
3
4
转载自http://www.cnblogs.com/wjoyxt/p/6128183.html
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Nginx限制访问速率和最大并发连接数模块--limit (防止DDOS攻击)
- Nginx限制访问速率和最大并发连接数模块--limit (防止DDOS攻击)
- Nginx limit 限制访问模块的方法
- nginx访问限制模块limit_conn_zone 和limit_req_zone配置使用详解
- Nginx模块 ngx_http_limit_req_module 限制请求速率
- nginx配置limit_req限制ip访问速率详解
- 十六.更强大的防攻击(访问速度限制)模块,对Nginx的limit_req增强
- Nginx限制IP访问,访问速率和最大并发数及下载带宽
- nginx 的限制连接模块limit_zone与limit_req_zone
- Nginx 限制访问速率
- nginx 的限制连接模块limit_zone与limit_req_zone
- Nginx限制某一段时间内同一ip访问数及并发连接数配置
- nginx 限制并发连接数 limit_zone one
- nginx介绍,流量及并发连接数限制,访问控制及ddos预防
- nginx对ip的访问频率进行限制(limit_req)和对ip连接数(并发量)进行限制(limit_conn)
- nginx介绍,流量及并发连接数限制,访问控制及ddos预防
- nginx请求频率限制模块ngx_http_limit_req_module
- nginx 的限制连接模块limit_zone与limit_req_zone
- nginx配置limit_conn_zone来限制并发连接数以及下载带宽
- 通过mod_limitipconn模块来限制apache的并发连接数