nginx怎麼防ddos攻擊

防禦DDOS是一個系統工程，攻擊花樣多，防禦的成本高瓶頸多，防禦起來即被動又無奈。 DDOS的特點是分散式，針對頻寬和服務攻擊，也就 是四層流量攻擊和七層應用攻擊，相應的防禦瓶頸四層在頻寬，七層的多在架構的吞吐量。對於七層的應用攻擊，我們還是可以做一些配置來防禦的。

例如前端是Nginx，主要使用nginx的http_limit_conn和http_limit_req模組來防禦。 ngx_http_limit_conn_module 可以限制單一IP的連線數，ngx_http_limit_req_module可以限制單一IP每秒請求數，透過限制連線數和請求數能相對有效的防禦CC攻擊。

以下是設定方法：

限制每秒請求數 
ngx_http_limit_req_module模組透過漏桶原理來限制單位時間內的請求數，一旦單位時間內請求數超過限制，就會回傳503錯誤。設定需要在兩個地方設定：

nginx.conf的http段內定義觸發條件，可以有多個條件 
在location內定義達到觸發條件時nginx所要執行的動作 
#例如：

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件，所有访问ip 限制每秒10个请求    ...
    server {        ...
        location  ~ \.php$ {
            limit_req zone=one burst=5 nodelay;   //执行的动作,通过zone名字对应
               }
           }
     }

參數說明：

$binary_remote_addr  二进制远程地址
zone=one:10m    定义zone名字叫one，并为这个zone分配10M内存，用来存储会话（二进制远程地址），1m内存可以保存16000会话
rate=10r/s;     限制频率为每秒10个请求
burst=5         允许超过频率限制的请求数不多于5个，假设1、2、3、4秒请求为每秒9个，那么第5秒内请求15个是允许的，反之，如果第一秒内请求15个，会将5个请求放到第二秒，第二秒内超过10的请求直接503，类似多秒内平均速率限制。
nodelay         超过的请求不被延迟处理，设置后15个请求在1秒内处理。

限制IP連線數 
ngx_http_limit_conn_module的設定方法與參數與http_limit_req模組很像，參數少，要簡單很多

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件    ...
    server {        ...
        location /download/ {
            limit_conn addr 1;    // 限制同一时间内1个连接，超出的连接返回503
                }
           }
     }

更多Nginx相關技術文章，請訪問Nginx使用教學欄位來學習！

以上是nginx怎麼防ddos攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章！