La défense contre les DDOS est un projet systématique. Il existe de nombreux types d'attaques, le coût de la défense est élevé et la défense est passive et impuissante. La caractéristique du DDOS est qu'il est distribué et cible les attaques de bande passante et de service, c'est-à-dire les attaques de trafic de couche 4 et les attaques d'applications de couche 7. Le goulot d'étranglement de défense correspondant au niveau de la couche 4 est la bande passante, et la couche 7 se situe principalement au niveau du débit de l'architecture. .
1. Limiter le nombre de requêtes par seconde
Le module ngx_http_limit_req_module utilise le principe du bucket à fuite pour limiter le nombre de requêtes par unité de temps Une fois Si le nombre de requêtes par unité de temps dépasse la limite, une erreur 503 sera renvoyée.
La configuration doit être définie à deux endroits :
Les conditions de déclenchement sont définies dans la section http de nginx.conf Il peut y avoir plusieurs conditions
http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求 ... server { ... location ~ \.php$ { limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应 } } }
Description du paramètre :
$binary_remote_addr Adresse distante binaire zone=one :10m Définissez le nom de la zone comme un et allouez 10 M de mémoire à cette zone pour stocker les sessions (1 m de mémoire binaire peut enregistrer 16 000 sessions taux=10r/s ; La fréquence limite est de 10 par seconde. Requêtes burst=5 Le nombre de requêtes dépassant la limite de fréquence ne peut pas dépasser 5. En supposant que le nombre de requêtes en 1, 2, 3 et 4 secondes est de 9 par seconde, alors 15 requêtes dans la 5ème seconde sont autorisées. A l'inverse, s'il y a 15 requêtes dans la première seconde, 5 requêtes seront placées dans la deuxième seconde. Les requêtes dépassant 10 dans la deuxième seconde seront directement 503, similaire à la limite de débit moyenne en plusieurs secondes. nodelay Les demandes dépassant la limite ne seront pas retardées. Après réglage, 15 demandes seront traitées en 1 seconde.2. Limiter le nombre de connexions IP
La méthode de configuration et les paramètres de ngx_http_limit_conn_module sont très similaires au module http_limit_req, avec moins de paramètres et beaucoup plus simple
http { limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件 ... server { ... location /download/ { limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503 } } }
3. Les paramètres de la liste blanche
les modules http_limit_conn et http_limit_req limitent le nombre de concurrence et de requêtes par unité de temps d'une seule IP, mais s'il existe un équilibrage de charge ou un proxy inverse tel comme lvs ou haproxy devant Nginx , tous les nginx obtiennent des connexions ou des requêtes issues de l'équilibrage de charge. À l'heure actuelle, les connexions et les requêtes d'équilibrage de charge ne doivent pas être restreintes. Vous devez définir une liste blanche pour les modules géo et cartographiques :.
geo $whiteiplist { default 1; 10.11.15.161 0; } map $whiteiplist $limit { 1 $binary_remote_addr; 0 ""; } limit_req_zone $limit zone=one:10m rate=10r/s; limit_conn_zone $limit zone=addr:10m;
Tutoriel Nginx pour apprendre !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!