Hi I’m Shendi
为了防止网站被恶意攻击,总是需要做一些防护措施
最外层的web服务器是Nginx,于是寻找 nginx 的一些关于防护措施的配置,记录在此
https://sdpro.top/blog/html/article/1005.html
一些变量
首先列举出会使用到的一些变量
| 变量名 | 简述 |
|---|---|
| $binary_remote_addr | 客户端IP |
| $server_name | 域名,HOST |
限制请求数
首先需要定义限制区域,在 http 加入以下配置
limit_req_zone $binary_remote_addr zone=testip:10m rate=5r/s;
其中 testip 为区域名字,后面的 10m 代表记录的缓存最大内存
rate 代表访问频率限制,binary_remote_addr代表限制相同ip,相同ip每秒限制访问为五次 ,时间单位也可以为 m(分钟)
然后在需要限制的 server 内加入以下配置来使用
limit_req zone=testip burst=10 nodelay;
其中testip为之前取的限制区域名称,可以随便起
burst设置缓存区大小,当超过了访问频率时请求放置在此缓存区
nodelay代表超过限制并且缓存区也满了就直接响应503,如果不加,请求会继续排队
限制相同ip,每秒只允许一个请求
http {
limit_req_zone $binary_remote_addr zone=testip:10m rate=1r/s;
server {
location / {
# 可以放在 http,server,location
limit_req zone=testip;
}
}
}
重启 nginx 刷新一下浏览器,发现除了第一个请求,其余的都是 503(high高亮插件是用的cdn,所以没被限制)
限制相同域名,每秒只允许一个请求
http {
limit_req_zone $server_name zone=testip:10m rate=1r/s;
server {
location / {
# 可以放在 http,server,location
limit_req zone=testip;
}
}
}
效果与上面一致
限制连接数
http1.1可以连接复用,所以一个连接可以对应多个请求
与上方限制请求类似,首先需要定义限制连接区间
limit_conn_zone $binary_remote_addr zone=testip:10m;
然后直接使用即可
limit_conn testip 5;
上面配置代表单个ip的最大连接数为5
带宽限制
使用 limit_rate 可以限制下载的速度
server {
listen 80;
server_name sdpro.top;
// 例如限制下载速度为500k
limit_rate 500k;
location / {
root html;
index index.html;
}
}
也可以设置超过指定大小后限制
server {
// 下载速度超过500k则限制为10k
limit_rate 10k;
limit_rate_after 500k;
}
最大上传大小
限制最大上传大小可以避免别人恶意上传很大的文件而占用资源
在http加入如下配置来限制
client_max_body_size 100m;
m代表MB(兆字节)
以上限制都可以根据情况配合使用
例如我的配置
http{
# 最大上传 30m
client_max_body_size 30m;
# 限制同一ip连接数量
limit_conn_zone $binary_remote_addr zone=connLimit:10m;
limit_conn connLimit 5;
# 限制同一ip每秒最大请求数
limit_req_zone $binary_remote_addr zone=reqLimit:10m rate=50r/s;
limit_req zone=reqLimit burst=10 nodelay;
# 限制下载速度
limit_rate 256k;
}
因为我的网页一个html就有三十多请求,所以限制50/s,扩展10,限制了下载速度,所以连接数量可以弄多一点
END
