Comment prévenir les attaques DDoS après le proxy inverse nginx

La défense contre les DDOS est un projet systématique. Il existe de nombreux types d'attaques, le coût de la défense est élevé et la défense est passive et impuissante. La caractéristique du DDOS est qu'il est distribué et cible les attaques de bande passante et de service, c'est-à-dire les attaques de trafic de couche 4 et les attaques d'applications de couche 7. Le goulot d'étranglement de défense correspondant au niveau de la couche 4 est la bande passante, et la couche 7 se situe principalement au niveau du débit de l'architecture. .

1. Limiter le nombre de requêtes par seconde

Le module ngx_http_limit_req_module utilise le principe du bucket à fuite pour limiter le nombre de requêtes par unité de temps Une fois Si le nombre de requêtes par unité de temps dépasse la limite, une erreur 503 sera renvoyée.

La configuration doit être définie à deux endroits :

Les conditions de déclenchement sont définies dans la section http de nginx.conf Il peut y avoir plusieurs conditions

Définir l'action à effectuer par nginx lorsque la condition de déclenchement est atteinte à l'emplacement

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件，所有访问ip 限制每秒10个请求    ...
    server {        ...
        location  ~ \.php$ {
            limit_req zone=one burst=5 nodelay;   //执行的动作,通过zone名字对应
               }
           }
     }

Description du paramètre :

$binary_remote_addr Adresse distante binaire

zone=one :10m Définissez le nom de la zone comme un et allouez 10 M de mémoire à cette zone pour stocker les sessions (1 m de mémoire binaire peut enregistrer 16 000 sessions

taux=10r/s ; La fréquence limite est de 10 par seconde. Requêtes

burst=5 Le nombre de requêtes dépassant la limite de fréquence ne peut pas dépasser 5. En supposant que le nombre de requêtes en 1, 2, 3 et 4 secondes est de 9 par seconde, alors 15 requêtes dans la 5ème seconde sont autorisées. A l'inverse, s'il y a 15 requêtes dans la première seconde, 5 requêtes seront placées dans la deuxième seconde. Les requêtes dépassant 10 dans la deuxième seconde seront directement 503, similaire à la limite de débit moyenne en plusieurs secondes.

nodelay Les demandes dépassant la limite ne seront pas retardées. Après réglage, 15 demandes seront traitées en 1 seconde.

2. Limiter le nombre de connexions IP

La méthode de configuration et les paramètres de ngx_http_limit_conn_module sont très similaires au module http_limit_req, avec moins de paramètres et beaucoup plus simple

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件    ...
    server {        ...
        location /download/ {
            limit_conn addr 1;    // 限制同一时间内1个连接，超出的连接返回503
                }
           }
     }

3. Les paramètres de la liste blanche

les modules http_limit_conn et http_limit_req limitent le nombre de concurrence et de requêtes par unité de temps d'une seule IP, mais s'il existe un équilibrage de charge ou un proxy inverse tel comme lvs ou haproxy devant Nginx , tous les nginx obtiennent des connexions ou des requêtes issues de l'équilibrage de charge. À l'heure actuelle, les connexions et les requêtes d'équilibrage de charge ne doivent pas être restreintes. Vous devez définir une liste blanche pour les modules géo et cartographiques :

.

geo $whiteiplist  {
        default 1;
        10.11.15.161 0;
    }
map $whiteiplist  $limit {
        1 $binary_remote_addr;
        0 "";
    }
limit_req_zone $limit zone=one:10m rate=10r/s;
limit_conn_zone $limit zone=addr:10m;

Plus d'articles techniques liés à Nginx, veuillez visiter la colonne

Tutoriel Nginx pour apprendre !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!