nginx关于限制请求数和连接数

nginx轻巧功能强大，能承受几百并发量，ddos攻击几乎没有影响到nginx自身的工作，但是，太多的请求就开始影响后端服务了。所以必须要在nginx做相应的限制，让攻击没有到后端的服务器。这里阐述的是能在单位时间内限制请求数的ngx_http_limit_req_module模块和nginx限制连接数的ngx_http_limit_conn_module模块。安装模块这些简单的步骤这里就不介绍了，就介绍一下配置的参数，希望对大家有用。

一、nginx限制请求数ngx_http_limit_req_module模块

1、键值的定义，就是限制的参数。这个在http里面设置。

limit_req_zone

语法: limit_req_zone $variable zone=name:size rate=rate;

默认值: none

配置段: http

例子：limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

 

说明：区域名称为one，大小为10m，平均处理的请求频率不能超过每秒一次。

键值是客户端IP。

使用$binary_remote_addr变量， 可以将每条状态记录的大小减少到64个字节，这样1M的内存可以保存大约1万6千个64字节的记录。

如果限制域的存储空间耗尽了，对于后续所有请求，服务器都会返回 503 (Service Temporarily Unavailable)错误。

速度可以设置为每秒处理请求数和每分钟处理请求数，其值必须是整数，所以如果你需要指定每秒处理少于1个的请求，2秒处理一个请求，可以使用 “30r/m”。

2、设置你所希望的日志级别。

limit_req_log

语法: limit_req_log_level info | notice | warn | error;

默认值: limit_req_log_level error;

配置段: http, server, location

 

当服务器因为频率过高拒绝或者延迟处理请求时可以记下相应级别的日志。 延迟记录的日志级别比拒绝的低一个级别；比如， 如果设置“limit_req_log_level notice”， 延迟的日志就是info级别。

3、设置错误返回值。

语法: limit_req_status code;

默认值: limit_req_status 503;

配置段: http, server, location

 

该指令在1.3.15版本引入。设置拒绝请求的响应状态码。

4、设置对应的共享内存限制域和允许被处理的最大请求数阈值。

语法: limit_req zone=name [burst=number] [nodelay];

默认值: —

配置段: http, server, location

 

limit_req_zone $binary_remote_addr zone=ttlsa_com:10m rate=1r/s;

server {

    location /www.ttlsa.com/ {

        limit_req zone=ttlsa_com burst=5;

    }

}

限制平均每秒不超过一个请求，同时允许超过频率限制的请求数不多于5个。

如果不希望超过的请求被延迟，可以用nodelay参数,如：

limit_req zone=ttlsa_com burst=5 nodelay;

 

二、nginx限制连接数ngx_http_limit_conn_module模块

1、用于限制每个已定义键的连接数特别是来自单个IP地址的连接数。并不是所有的连接都被计算在内。只有当服务器处理了一个请求，并且整个请求头已经被读取时，才会计算连接。

limit_conn_zone

语法: limit_conn_zone $binary_remote_addr zone=addr:10m;

默认值: none

配置段: http

例子：limit_conn_zone $binary_remote_addr zone=addr:10m;

 

说明：区域名称为addr，大小为10m，键值是客户端IP。

如果限制域的存储空间耗尽了，对于后续所有请求，服务器都会返回 503 (Service Temporarily Unavailable)错误。

2、设置允许一个IP同时的连接数。

limit_conn

语法: limit_conn zone number;

默认值: none

配置段:http, server, location

例子：

limit_conn_zone $binary_remote_addr zone=addr:10m; server { location /download/ { limit_conn addr 1; }

 

设置了内存空间的连接数，一旦超过，将会返回错误代码。一个IP同时只允许一个连接。

此指令的第二种用法，设置虚拟主机同时的链接总数限制。

例子：

limit_conn_zone $binary_remote_addr zone=perip:10m;

limit_conn_zone $server_name zone=perserver:10m;

 

server {

...

limit_conn perip 10;

limit_conn perserver 100;

 

先设置内存共享空间，再针对内存共享空间做限制。

3、设置日志指令等级。

语法: limit_conn_log_level info | notice | warn | error;

默认: limit_conn_log_level error;

配置段: http, server, location

 

4、设置错误返回的代码。

语法: limit_conn_status code;

默认: limit_conn_status 503;

配置段: http, server, location