nginx限制某個IP同一時間段的訪問次數

如何設置能限制某個IP某一時間段的訪問次數是一個讓人頭疼的問題，特別面對惡意的ddos攻擊的時候。其中CC攻擊（Challenge Collapsar）是DDOS（分佈式拒絕服務）的一種，也是一種常見的網站攻擊方法，攻擊者經過代理服務器或者肉雞向向受害主機不停地發大量數據包，形成對方服務器資源耗盡，一直到宕機崩潰。

cc攻擊通常就是使用有限的ip數對服務器頻繁發送數據來達到攻擊的目的，nginx能夠經過HttpLimitReqModul和HttpLimitZoneModule配置來限制ip在同一時間段的訪問次數來防cc攻擊。

HttpLimitReqModul用來限制連單位時間內鏈接數的模塊，使用limit_req_zone和limit_req指令配合使用來達到限制。一旦併發鏈接超過指定數量，就會返回503錯誤。

HttpLimitConnModul用來限制單個ip的併發鏈接數，使用limit_zone和limit_conn指令

這兩個模塊的區別前一個是對一段時間內的鏈接數限制，後者是對同一時刻的鏈接數限制

HttpLimitReqModul 限制某一段時間內同一ip訪問數實例

http{
    ...

    #定義一個名爲allips的limit_req_zone用來存儲session，大小是10M內存，
    #以$binary_remote_addr 爲key,限制平均每秒的請求爲20個，
    #1M能存儲16000個狀態，rete的值必須爲整數，
    #若是限制兩秒鐘一個請求，能夠設置成30r/m

    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    ...
    server{
        ...
        location {
            ...

            #限制每ip每秒不超過20個請求，漏桶數burst爲5
            #brust的意思就是，若是第1秒、2,3,4秒請求爲19個，
            #第5秒的請求爲25個是被容許的。
            #可是若是你第1秒就25個請求，第2秒超過20的請求返回503錯誤。
            #nodelay，若是不設置該選項，嚴格使用平均速率限制請求數，
            #第1秒25個請求時，5個請求放到第2秒執行，
            #設置nodelay，25個請求將在第1秒執行。

            limit_req zone=allips burst=5 nodelay;
            ...
        }
        ...
    }
    ...
}

 

HttpLimitZoneModule 限制併發鏈接數實例

limit_zone只能定義在http做用域，limit_conn能夠定義在http server location做用域

http{
    ...

    #定義一個名爲one的limit_zone,大小10M內存來存儲session，
    #以$binary_remote_addr 爲key
    #nginx 1.18之後用limit_conn_zone替換了limit_conn
    #且只能放在http做用域
    limit_conn_zone   one  $binary_remote_addr  10m;  
    ...
    server{
        ...
        location {
            ...
           limit_conn one 20;          #鏈接數限制

           #帶寬限制,對單個鏈接限數，若是一個ip兩個鏈接，就是500x2k
           limit_rate 500k;            

            ...
        }
        ...
    }
    ...
}

 

nginx白名單設置

以上配置會對全部的ip都進行限制，有些時候咱們不但願對搜索引擎的蜘蛛或者本身測試ip進行限制，
對於特定的白名單ip咱們能夠藉助geo指令實現。
1.

http{
     geo $limited{
        default 1;
        #google 
        64.233.160.0/19 0;
        65.52.0.0/14 0;
        66.102.0.0/20 0;
        66.249.64.0/19 0;
        72.14.192.0/18 0;
        74.125.0.0/16 0;
        209.85.128.0/17 0;
        216.239.32.0/19 0;
        #M$
        64.4.0.0/18 0;
        157.60.0.0/16 0;
        157.54.0.0/15 0;
        157.56.0.0/14 0;
        207.46.0.0/16 0;
        207.68.192.0/20 0;
        207.68.128.0/18 0;
        #yahoo
        8.12.144.0/24 0;
        66.196.64.0/18 0;
        66.228.160.0/19 0;
        67.195.0.0/16 0;
        74.6.0.0/16 0;
        68.142.192.0/18 0;
        72.30.0.0/16 0;
        209.191.64.0/18 0;
        #My IPs
        127.0.0.1/32 0;
        123.456.0.0/28 0; #example for your server CIDR
    }

geo指令定義了一個白名單$limited變量，默認值爲1，若是客戶端ip在上面的範圍內，$limited的值爲0

2.使用map指令映射搜索引擎客戶端的ip爲空串，若是不是搜索引擎就顯示自己真是的ip，這樣搜索引擎ip就不能存到limit_req_zone內存session中，因此不會限制搜索引擎的ip訪問

map $limited $limit {
1 $binary_remote_addr;
0 "";
}

3.設置limit_req_zone和limit_req
limit_req_zone $limit zone=foo:1m rate=10r/m;

limit_req zone=foo burst=5;

最後咱們使用ab壓php-fpm的方式，對上面的方法效果實際測試下

例1：限制只容許一分鐘內只容許一個ip訪問60次配置，也就是平均每秒1次
首先咱們準備一個php腳本放在根目錄下$document_root
test.php

for( $i=0; $i < 1000; $i++)
echo 'Hello World';
?>

nginx配置增長limit_req_zone 和 limit_req

http{
    ...
    limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
    ...
    server{
        ...
        location {
            ...
            limit_req zone=allips;
            ...
        }
        ...
    }
    ...
}

ab -n 5 -c 1 http://www.weizhang.org/test.php

118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"

未設置brust和nodelay能夠看到該配置只容許每秒訪問1次，超出的請求返回503錯誤

http{
    ...
    limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
    ...
    server{
        ...
        location {
            ...
            limit_req zone=allips burst=1 nodelay;
            ...
        }
        ...
    }
    ...
}

ab -n 5 -c 1 http://www.weizhang.org/test.php

118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"

設置brust=1和nodelay後容許第1秒處理兩個請求。