nginx 防ddos nginx 防ddos配置

转载

mob64ca140eb362 2024-04-07 11:15:41

文章标签 nginx 防ddos nginx http linux 网络优化 文章分类 运维

1.屏蔽版本号信息

2. 限制并发量

3.拒绝非法的请求

4. 防止buffer溢出

1.屏蔽版本号信息

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
http{
     server_tokens off;           #在http下面手动添加这么一行（屏蔽版本信息）
     … …
}
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

[root@proxy ~]# curl -I http://192.168.4.5   #查看服务器响应的头部信息(加I只看头部信息)

2. 限制并发量

DDOS攻击者会发送大量的并发连接，占用服务器资源（包括连接数、带宽等），这样会导致正常用户处于等待或无法访问服务器的状态
Nginx提供了一个ngx_http_limit_req_module模块，可以有效降低DDOS攻击的风险，操作方法如下：(拒绝服务攻击)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
http{
… …
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;#开启限制,谁访问就记住,每秒只能发一个请求）
    server {      
        listen 80;
        server_name localhost;
        limit_req zone=one burst=5;
            }
}

[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
客户端使用ab测试软件测试效果：
[root@client ~]# ab -c 100 -n 100  http://192.168.4.5/
#limit_req_zone语法格式如下：
#limit_req_zone key zone=name:size rate=rate;
#上面案例中是将客户端IP信息存储名称为one的共享内存，内存空间为10M
#1M可以存储8千个IP信息，10M可以存储8万个主机连接的状态，容量可以根据需要任意调整
#每秒中仅接受1个请求，多余的放入漏斗
#漏斗超过5个则报错

3.拒绝非法的请求

网站使用的是HTTP协议，该协议中定义了很多方法，可以让用户连接服务器，获得需要的资源。但实际应用中一般仅需要get和post
具体HTTP请求方法的含义
未修改服务器配置前，客户端使用不同请求方法测试

root@client ~]# curl -i -X GET  http://192.168.4.5            #正常
[root@client ~]# curl -i -X HEAD http://192.168.4.5            #正常
#curl命令选项说明：
        #-I只显示头部
        #-i选项：访问服务器页面时，显示HTTP的头部信息于下在内容
        #-X选项：指定请求服务器的方法
通过如下设置可以让Nginx拒绝非法的请求方法
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
http{
       server {
                 listen 80;
#这里，!符号表示对正则取反，~符号是正则匹配符号
#如果用户使用非GET或POST方法访问网站，则retrun返回错误信息
              if ($request_method !~ ^(GET|POST)$ ) {
                     return 444;
               }    
        }
}
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
修改服务器配置后，客户端使用不同请求方法测试：
[root@client ~]# curl -i -X GET  http://192.168.4.5            #正常
[root@client ~]# curl -i -X HEAD http://192.168.4.5            #报错

4. 防止buffer溢出

当客户端连接服务器时，服务器会启用各种缓存，用来存放连接的状态信息。如果攻击者发送大量的连接请求，而服务器不对缓存做限制的话，内存数据就有可能溢出（空间不足）

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
http{
client_body_buffer_size  1k;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
 … …
}
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。