nginx可以通过limit_conn_zone和limit_req_zone两个组件来限制客户端访问服务端的目录和文件的频率和次数,能够抵挡住部分cc、ddos攻击。

限制访问频率:

http{

    ...

    #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,

    #以$binary_remote_addr 为key,限制平均每秒的请求为20个,

    #1M能存储16000个状态,rete的值必须为整数,

    #如果限制两秒钟一个请求,可以设置成30r/m

    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;

    ...

    server{

        ...

        location {

            ...

            #限制每ip每秒不超过20个请求,漏桶数burst为5

            #brust的意思就是当每秒超过20个请求时,5个以内的请求会被延迟访问,超过5个的直接返回503

            #nodelay,设置该选项,将严格使用平均速率限制请求数,超过请求频率的直接返回503

            limit_req zone=allips burst=5 nodelay;

            ...

        }

        ...

    }

    ...

}

#注意配置的作用域

注意:发送请求频率高于(1000ms/20r)ms/r 直接返回503

限制并发连接数:

http{

    ...

    #定义一个名为all_zone的limit_zone,大小10M内存来存储session,

    #nginx 1.18以后用limit_conn_zone替换了limit_conn

    limit_conn_zone   all_zone  $binary_remote_addr  10m;  

    ...

    server{

        ...

        location {

            ...

           limit_conn all_zone 20;          #连接数限制

           #带宽限制,对单个连接限数,限制带宽上限500k

           limit_rate 500k;            

            ...

        }

        ...

    }

    ...

}

配置访问白名单:

nginx需支持geo模块;

http{
    ...

geo  $limited  {

        default 1;

        127.0.0.1 0;

        172.31.105.247/32 0;

        include /etc/nginx/whiteip;

    }

map $limited $limit   {

    1 $binary_remote_addr;

    0 "";

}

limit_req_zone $limit zone=allips:20m rate=100r/m;

    ...
    server{

        ...

        location {

            ...

           limit_req zone=allips burst=100 ;                  

            ...

        }
 
}
/etc/nginx/whiteip:
18.195.104.195/32 0;

18.196.102.154/32 0;

54.93.227.18/32 0;

如果nginx上层还有ELB(aws)或SLB(aliyun),需在nginx配置中添加:

set_real_ip_from  172.31.0.0/16;

real_ip_header    X-Forwarded-For;

real_ip_recursive on;
#配置对于从172.31.0.0/16 这个ip段过来的请求,remote_addr的字段的值从 X-Forwarded-For 中取

nginx配置访问频率的更多相关文章

  1. Nginx配置访问权限

    基于IP配置Nginx的访问权限 Nginx配置通过两种途径支持基本访问权限的控制,其中一种是由HTTP标准模块ngx_http_access_module支持的,通过IP来判断客户端是否拥有对Ngi ...

  2. nginx配置访问图片路径(windows)

    简介 Nginx(("engine x")由俄罗斯的程序设计师Igor Sysoev所开发)是一款自由的.开源的.高性能的HTTP服务器和反向代理服务器:同时也是一个IMAP.PO ...

  3. nginx配置访问本地静态资源

    下面说说如何在windows下使用nginx作为静态资源服务器, 1.修改config目录下,这个配置文件,基本上所有的配置都在这里面做, 2.主要的配置参数如下,一些无关的参数我直接去掉了,注意,里 ...

  4. nginx配置访问本地资源

    参考博客:https://www.cnblogs.com/xy51/p/9973326.html 需要访问路径:http://IP:10013/p1upgrade/picfiles/image73b4 ...

  5. kibana通过nginx配置访问用户验证

    背景: 现在搭建好了efk,其中kibana是可以在网页上访问的可视化工具,搭建好的kibana默认没有访问控制权限,任何人都能访问,这样存在一些安全隐患和隐私问题.这里我把设置的访问验证过程记录一下 ...

  6. nginx配置访问xx.com跳转www.xx.com

    二.在nginx里面配置 rewrite 规则.打开 Nginx.conf 文件找到server配置段:[以下是我的server配置段] 禁止IP地址访问 server{ listen 80 defa ...

  7. Nginx 配置访问静态资源

    做个简单的配置: 以txt/png/mp4结尾的请求都会按照如下规则寻找返回文件 关键词: location.root location ~ \.(mp4|png|txt) { root /usr/l ...

  8. nginx配置访问https[自签版]

    通过openssl生成证书 (1)设置server.key,这里需要设置两遍密码: openssl genrsa -des3 -out server.key 1024 (2)参数设置,首先这里需要输入 ...

  9. nginx配置访问黑名单-2

    在Nginx服务器上屏蔽IP 1.查找要屏蔽的ip awk '{print $1}' nginx.access.log |sort |uniq -c|sort -n nginx.access.log ...

随机推荐

  1. mysql5.7采坑

    2018年8月21日16:57:16 datetime 类型新默认值不能全部为 0000-00-00 00:00:00date也是新默认值直接date('Y-m-d H:i:s','0');datet ...

  2. Express全系列教程之(六):cookie的使用

    一.关于Cookie 在我们关闭一个登录过的网址并重新打开它后,我们的登录信息依然没有丢失:当我们浏览了商品后历史记录里出现了我们点击过的商品:当我们推回到首页后,推荐商品也为我们选出了相似物品:事实 ...

  3. hydra用法

    三.Syntax # hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o FILE] [-t TASKS] [ ...

  4. MySQL中dblink的实现(通过federated引擎实现)

    最近项目中涉及MySQL数据库视图的创建,需要整合两个位于不同服务器上数据库的内容,就遇到了远程访问数据库的问题.在oracle中可以通过dblink来实现跨本地数据库来访问另外一个数据库中的数据.通 ...

  5. Exp2 后门原理与实践 20164320 王浩

    一.实践基本内容 1.实践目标 (1)使用netcat获取主机操作Shell,cron启动 (2)使用socat获取主机操作Shell, 任务计划启动 (3)使用MSF meterpreter(或其他 ...

  6. Jmeter post请求传参问题

    同线程组引用参数 举例1:新增数据bizId,然后将此次新增数据删除 添加新增数据接口,然后查询数据列表,正则表达式提取bizId 在删除接口引用此值${bizId} 添加断言,执行查看结果

  7. ReactJS antd 环境中项目上传图片后压缩(lrz的使用)

    lrz说明 ( github地址 :https://github.com/think2011/localResizeIMG ) 用于:在客户端压缩好要上传的图片可以节省带宽更快的发送给后端,特别适合在 ...

  8. AndroidStudio中如何使用GsonFormat

    转载:https://www.jianshu.com/p/3b82f42e5937 第一步: 找到AndroidStudio中得Prefrences的plugins的Browse repositori ...

  9. Movavi Video Editor 15 Plus(视频编辑软件) 中文版

    Movavi Video Editor 15 Plus Mac版是Movavi系列中的一款视频编辑器,Movavi Video Editor Plus 15破解版提供了全面的视频功能,另外还支持为视频 ...

  10. 修改haproxy配置文件

    需求: 1.查 输入:www.oldboy.org 获取当前backend下的所有记录 2.新建 输入: arg = { 'bakend': 'www.oldboy.org', 'record':{ ...