DDOS に対する防御は体系的なプロジェクトです。攻撃にはさまざまな種類があり、防御コストは高く、多くのボトルネックがあります。防御は受動的で無力です。 DDOS の特徴は、分散型で、帯域幅とサービス攻撃、つまり、レイヤ 4 トラフィック攻撃とレイヤ 7 アプリケーション攻撃をターゲットにすることです。対応する防御ボトルネックは、レイヤ 4 では帯域幅、レイヤ 7 ではアーキテクチャのスループットです。レイヤ 7 アプリケーション攻撃に対しては、防御するためのいくつかの設定を行うことができます。
例 フロントエンドは Nginx で、主に防御のために nginx の http_limit_conn モジュールと http_limit_req モジュールを使用します。 ngx_http_limit_conn_module は単一 IP の接続数を制限でき、ngx_http_limit_req_module は単一 IP の 1 秒あたりのリクエスト数を制限できます。接続とリクエストの数を制限することで、CC 攻撃を比較的効果的に防御できます。
設定方法は以下の通りです。
1秒あたりのリクエスト数を制限する
ngx_http_limit_req_moduleモジュールで単位時間を制限しますリーキーバケットの原則により、単位時間あたりのリクエスト数が制限を超えると、503 エラーが返されます。構成は 2 つの場所で設定する必要があります:
nginx.conf の http セクションでトリガー条件を定義します。複数の条件を指定できます
トリガー条件が満たされたときに nginx によって実行されるアクションを定義します。場所
例:
http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求 ... server { ... location ~ \.php$ { limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应 } } }
パラメータの説明:
$binary_remote_addr 二进制远程地址 zone=one:10m 定义zone名字叫one,并为这个zone分配10M内存,用来存储会话(二进制远程地址),1m内存可以保存16000会话 rate=10r/s; 限制频率为每秒10个请求 burst=5 允许超过频率限制的请求数不多于5个,假设1、2、3、4秒请求为每秒9个,那么第5秒内请求15个是允许的,反之,如果第一秒内请求15个,会将5个请求放到第二秒,第二秒内超过10的请求直接503,类似多秒内平均速率限制。 nodelay 超过的请求不被延迟处理,设置后15个请求在1秒内处理。
IP 接続数の制限
ngx_http_limit_conn_module の設定方法とパラメータは、http_limit_req モジュールと非常に似ていますが、パラメータが少なく、より単純です
http { limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件 ... server { ... location /download/ { limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503 } } }
Nginx 関連の技術記事の詳細については、Nginx 使用法チュートリアル## をご覧ください。 # 学べるコラム!
以上がnginx で DDoS 攻撃を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。