怎么配置Nginx服务器防止Flood攻击

测试

我会简单的告诉你如何配置nginx的限制请求模块并且它是如何保护你的网站，防止你被攻击与ddos或是其他基于http的拒绝服务攻击。

这个测试中，我将样本页在保存在blitz.io（现在是免费服务）命名为about.html,用于测试limit_req指令.

首先，我在blitz上使用下面的指令，用来发起1075个并发请求并且持续一分钟，响应超时设置为2分钟，区域为加州，同时设置了除掉状态200以外的其他状态全部为异常状态，甚至是503都被认为是没有成功.

-p 1-1075:60 --status 200 -t 2000 -r california http://kbeezie.com/about.html

 还不算坏，对不对? 但如果这是一个php文档. 很可能有用户会造成php进程的502/504状态，让服务器一直崩溃或无响应. 尤其是你使用了没有任何保护的vps或者其他廉价服务器，故障率会更高。（原文广告，此处屏蔽）

当然你可以使用缓存或其他工具来提高服务器性能与响应能力, 就比如你使用wordpress你肯定要使用wordpress caching plugin. da for those type of people we can use the limit request module.

在nginx中我们创建一个区域http { },我叫他blitz设置每秒5次请求, 最大容纳数据量为10mb.我使用$binary_remote_addr当作session变量 让你自己比$remote_addr的正常访客可以访问大于10mb的空间.

复制代码 代码如下:

limit_req_zone $binary_remote_addr zone=blitz:10m rate=5r/s;

然周在服务器中定义上这些规则:

复制代码 代码如下:

location = /about.html {
 limit_req zone=blitz nodelay;
}

然后重新载入nginx配置，看一下效果:

YXPHP企业网站管理系统4.0

支持静态模板,支持动态模板标签,支持图片.SWF.FLV系列广告标签.支持百万级海量数据,绑定内置URL伪装策略(URL后缀名随你怎么写)，绑定内置系统升级策略(暂不开放升级),绑定内置模板付费升级策略(暂不开放更新)。支持标签容错处理,绑定内置攻击防御策略,绑定内置服务器优化策略(系统内存释放的干干净净)。支持离线运行,支持次目录,兼容U主机。支持会员功能,支持文章版块权限阅读,支持会员自主注册

下载

 你会发现现在大于只有285人可以访问到服务器，每秒请求数为4.75 ,没有超过我们设置的5次每秒,检查日志你会发现没有访问到的请求都是http 503，访问到的都是http 200.

使用这样的设置对于想限制地区访问是很有帮助的,它也可以应用在所有的php请求上.

php 应用请求限制

如果你想限制所有的php应用限制，你可以这样做:

复制代码 代码如下:

location ~ \.php {
 limit_req   zone=flood;
 include php_params.conf;
 fastcgi_pass unix:/tmp/php5-fpm.sock;
}

它可以帮你玩意些设置项像加速或减速，以应对突发或无延时需求. 配置项详情，猛击这里: httplimitreqmodule.
注：

你可能注意到上面的图表测试了1075个用户请求，这里有个误导，因为所有的访问请求都来自与位于加州的同一个ip(50.18.0.223).

我很难实现一个真实的高流量网络或者ddos (分布式拒绝服务攻击).这也就是为什么我们访问成功的用户的数量跟ip不是很大. 服务器负载也会影响测试用户的访问数或者地区. 使用免费版本你可以最多并发访问到的用户数是50个. 当然你可以花每天$49美刀让1000个用户访问你的网站.

如果你有足够的内存跟带宽,用单一ip地址测试是很容易的. 用这个工具就可以实现: 高并发量, ab, openload等等. 只不过是在终端界面，没有ui而已.

当然你要自己测试, 记住要使用status flag，因为blitz会在5秒左右后响应访问请求.

更好的替换方案

这里不会深入讲解更多细节, 如果你认真的想阻止攻击你服务器的ddos或multi-service attack，还有其他很棒的软件工具像 iptables (linux), pf (packet filter for bsd) , 或者你的服务器提供硬件的话，你可以使用你的硬件防火墙 . 上述的限制模块只会阻止通过http请求过来的洪水攻击，它不会阻止ping包洪水攻击或者其他的漏洞，对于这些情况你可以关闭不需要的服务和不需要的端口，以防止别人的突破.

举个例子,我的服务器对外网公开的端口只有http/https和ssh. 像mysql这些服务之绑定本地连接. 也可以将一些通用服务设置成不常用的端口上,这样就不会被嗅探器(iptables/pf会对这种情况有帮助).