为了防止网站被恶意攻击,总是需要做一些防护措施
最外层的web服务器是Nginx,于是寻找 nginx 的一些关于防护措施的配置,记录在此。
一些变量
首先列举出会使用到的一些变量
$binary_remote_addr #客户端IP
$server_name #域名,HOST
限制请求数
首先需要定义限制区域,在 http 加入以下配置
limit_req_zone $binary_remote_addr zone=testip:10m rate=5r/s;
其中 testip 为区域名字,后面的 10m 代表记录的缓存最大内存;
rate 代表访问频率限制,binary_remote_addr代表限制相同ip,相同ip每秒限制访问为五次 ,时间单位也可以为 m(分钟)
然后在需要限制的 server 内加入以下配置来使用
limit_req zone=testip burst=10 nodelay;
其中testip为之前定义的限制区域名称,可以随便起名;
burst设置缓存区大小,当超过了访问频率时请求放置在此缓存区;
nodelay代表超过限制并且缓存区也满了就直接响应503,如果不加,请求会继续排队。
限制相同ip,每秒只允许一个请求
http {
limit_req_zone $binary_remote_addr zone=testip:10m rate=1r/s;
server {
location / {
# 可以放在 http,server,location
limit_req zone=testip;
}
}
}
重启 nginx 刷新一下浏览器,发现除了第一个请求,其余的都是 503(high高亮插件是用的cdn,所以没被限制)
image.png
限制相同域名,每秒只允许一个请求
http {
limit_req_zone $server_name zone=testip:10m rate=1r/s;
server {
location / {
# 可以放在 http,server,location
limit_req zone=testip;
}
}
}
效果与上面一致
限制连接数
http1.1可以连接复用,所以一个连接可以对应多个请求,与上方限制请求类似,首先需要定义限制连接区间。
limit_conn_zone $binary_remote_addr zone=testip:10m;
然后直接使用即可
limit_conn testip 5;
上面配置代表单个ip的最大连接数为5
带宽限制
使用 limit_rate 可以限制下载的速度
server {
listen 80;
server_name sdpro.top;
// 例如限制下载速度为500k
limit_rate 500k;
location / {
root html;
index index.html;
}
}
也可以设置超过指定大小后限制
server {
// 下载速度超过500k则限制为10k
limit_rate 10k;
limit_rate_after 500k;
}
最大上传大小
限制最大上传大小可以避免别人恶意上传很大的文件而占用资源,在http加入如下配置来限制。
client_max_body_size 100m;
m代表MB(兆字节)
以上限制都可以根据情况配合使用
例如以下:
http{
# 最大上传 30m
client_max_body_size 30m;
# 限制同一ip连接数量
limit_conn_zone $binary_remote_addr zone=connLimit:10m;
limit_conn connLimit 5;
# 限制同一ip每秒最大请求数
limit_req_zone $binary_remote_addr zone=reqLimit:10m rate=50r/s;
limit_req zone=reqLimit burst=20 nodelay;
# 限制下载速度, 超过512k则限制为64k
limit_rate 64k;
limit_rate_after 512k;
}
因为一个html就有三十多请求,所以限制50/s,扩展20,限制了下载速度,所以连接数量可以弄多一点。