PHP nginx는 IP 요청 수와 동시성 수를 제한합니다.

특정 기간 동안 특정 IP에 대한 방문 횟수를 제한하는 방법은 특히 악의적인 DDoS 공격에 직면할 때 골치 아픈 문제입니다. 그 중 CC 공격(Challenge Collapsar)은 DDOS(Distributed Denial of Service)의 일종으로 일반적인 웹사이트 공격 방법으로, 공격자는 프록시 서버나 브로일러를 통해 지속적으로 대량의 데이터 패킷을 피해자 호스트에 전송하여 공격을 유발한다. 상대 서버의 자원은 기계가 충돌할 때까지 소진됩니다. CC 공격은 일반적으로 제한된 수의 IP를 사용하여 공격 목적을 달성하기 위해 서버에 데이터를 자주 전송합니다. nginx는 CC 공격을 방지하기 위해 HttpLimitReqModul 및 HttpLimitZoneModule 구성을 통해 동일한 시간 동안 IP 액세스 횟수를 제한할 수 있습니다. HttpLimitReqModul은 단위 시간당 연결 수를 제한하는 데 사용되는 모듈입니다. 제한을 달성하려면 Limit_req_zone 및 Limit_req 명령어를 함께 사용하세요. 동시 연결 수가 지정된 수를 초과하면 503 오류가 반환됩니다. HttpLimitConnModul은 단일 IP에 대한 동시 연결 수를 제한하는 데 사용됩니다.limit_zone 및limit_conn 명령을 사용하는 두 모듈의 차이점은 전자는 일정 기간 내의 연결 수를 제한하고 후자는 연결 수를 제한한다는 것입니다. 동시에.

HttpLimitReqModul은 일정 시간 동안 동일한 IP에 접근할 수 있는 횟수를 제한합니다.

<span>http<span>{<span>    <span>...<span>
    <span>#定义一个名为allips的limit_req_zone用来存储session，大小是10M内存，<span>    <span>#以$binary_remote_addr 为key,限制平均每秒的请求为20个，<span>    <span>#1M能存储16000个状态，rete的值必须为整数，<span>    <span>#如果限制两秒钟一个请求，可以设置成30r/m<span>
    limit_req_zone $binary_remote_addr zone<span>=<span>allips<span>:<span>10m<span> rate<span>=<span>20r<span>/<span>s<span>;<span>    <span>...<span>    server<span>{<span>        <span>...<span>        location <span>{<span>            <span>...<span>
            <span>#限制每ip每秒不超过20个请求，漏桶数burst为5<span>            <span>#brust的意思就是，如果第1秒、2,3,4秒请求为19个，<span>            <span>#第5秒的请求为25个是被允许的。<span>            <span>#但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。<span>            <span>#nodelay，如果不设置该选项，严格使用平均速率限制请求数，<span>            <span>#第1秒25个请求时，5个请求放到第2秒执行，<span>            <span>#设置nodelay，25个请求将在第1秒执行。<span>
            limit_req zone<span>=<span>allips burst<span>=<span>5<span> nodelay<span>;<span>            <span>...<span>        <span>}<span>        <span>...<span>    <span>}<span>    <span>...<span><span>}</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span>

HttpLimitZoneModule 제한 동시 연결 수 인스턴스

limit_zone은 http 범위에서만 정의할 수 있으며,limit_conn은 http 서버 위치 범위에서 정의할 수 있습니다

<span>http<span>{<span>    <span>...<span>
    <span>#定义一个名为one的limit_zone,大小10M内存来存储session，<span>    <span>#以$binary_remote_addr 为key<span>    <span>#nginx 1.18以后用limit_conn_zone替换了limit_conn<span>    <span>#且只能放在http作用域<span>    limit_conn_zone   one  $binary_remote_addr  <span>10m<span>;<span>  
    <span>...<span>    server<span>{<span>        <span>...<span>        location <span>{<span>            <span>...<span>           limit_conn one <span>20<span>;<span>          <span>#连接数限制<span>
           <span>#带宽限制,对单个连接限数，如果一个ip两个连接，就是500x2k<span>           limit_rate <span>500k<span>;<span>            

            <span>...<span>        <span>}<span>        <span>...<span>    <span>}<span>    <span>...<span><span>}</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span>

nginx 화이트리스트 설정

이상 구성은 모든 IP를 제한합니다. 때로는 검색 엔진 스파이더를 제한하거나 IP를 직접 테스트하고 싶지 않을 수도 있습니다.
특정 화이트리스트 IP의 경우 geo 명령을 사용하여 이를 달성할 수 있습니다.
1.

<span>http<span>{<span>     geo $limited<span>{<span>        <span>default<span> <span>1<span>;<span>        <span>#google <span>        <span>64.233<span>.<span>160.0<span>/<span>19<span> <span>0<span>;<span>        <span>65.52<span>.<span>0.0<span>/<span>14<span> <span>0<span>;<span>        <span>66.102<span>.<span>0.0<span>/<span>20<span> <span>0<span>;<span>        <span>66.249<span>.<span>64.0<span>/<span>19<span> <span>0<span>;<span>        <span>72.14<span>.<span>192.0<span>/<span>18<span> <span>0<span>;<span>        <span>74.125<span>.<span>0.0<span>/<span>16<span> <span>0<span>;<span>        <span>209.85<span>.<span>128.0<span>/<span>17<span> <span>0<span>;<span>        <span>216.239<span>.<span>32.0<span>/<span>19<span> <span>0<span>;<span>        <span>#M$<span>        <span>64.4<span>.<span>0.0<span>/<span>18<span> <span>0<span>;<span>        <span>157.60<span>.<span>0.0<span>/<span>16<span> <span>0<span>;<span>        <span>157.54<span>.<span>0.0<span>/<span>15<span> <span>0<span>;<span>        <span>157.56<span>.<span>0.0<span>/<span>14<span> <span>0<span>;<span>        <span>207.46<span>.<span>0.0<span>/<span>16<span> <span>0<span>;<span>        <span>207.68<span>.<span>192.0<span>/<span>20<span> <span>0<span>;<span>        <span>207.68<span>.<span>128.0<span>/<span>18<span> <span>0<span>;<span>        <span>#yahoo<span>        <span>8.12<span>.<span>144.0<span>/<span>24<span> <span>0<span>;<span>        <span>66.196<span>.<span>64.0<span>/<span>18<span> <span>0<span>;<span>        <span>66.228<span>.<span>160.0<span>/<span>19<span> <span>0<span>;<span>        <span>67.195<span>.<span>0.0<span>/<span>16<span> <span>0<span>;<span>        <span>74.6<span>.<span>0.0<span>/<span>16<span> <span>0<span>;<span>        <span>68.142<span>.<span>192.0<span>/<span>18<span> <span>0<span>;<span>        <span>72.30<span>.<span>0.0<span>/<span>16<span> <span>0<span>;<span>        <span>209.191<span>.<span>64.0<span>/<span>18<span> <span>0<span>;<span>        <span>#My IPs<span>        <span>127.0<span>.<span>0.1<span>/<span>32<span> <span>0<span>;<span>        <span>123.456<span>.<span>0.0<span>/<span>28<span> <span>0<span>;<span> <span>#example for your server CIDR<span>    <span>}</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span>

geo 지시문은 기본값 1로 화이트리스트 $limited 변수를 정의합니다. 클라이언트 IP가 위 범위 내에 있는 경우 $limited 값은 0입니다

2. 검색 엔진 클라이언트의 IP를 빈 문자열에 매핑하려면 map 명령을 사용하세요. 이렇게 하면 검색 엔진 IP가 저장되지 않습니다. Limit_req_zone 메모리 세션이므로 검색 엔진의 IP 액세스가 제한되지 않습니다.

map $limited $limit {
1 $binary_remote_addr;
0 "";
}

3.limit_req_zone 및limit_req설정
limit_req_zone $limit z rate =10r/m;

limit_req zburst=5;

마지막으로 ab 압력 php-fpm을 사용합니다. 위 방법의 효과를 실제로 테스트하기 위해

예시 1 : 제한은 하나의 IP만 1분에 60회 구성에 액세스하도록 허용하며, 이는 초당 평균 1회입니다.
먼저 $document_root
test.php

nginx 구성 추가limit_req_zone 및 limit_req

<span>http<span>{<span>    <span>...<span>    limit_req_zone $binary_remote_addr zone<span>=<span>allips<span>:<span>10m<span> rate<span>=<span>60r<span>/<span>m<span>;<span>    <span>...<span>    server<span>{<span>        <span>...<span>        location <span>{<span>            <span>...<span>            limit_req zone<span>=<span>allips<span>;<span>            <span>...<span>        <span>}<span>        <span>...<span>    <span>}<span>    <span>...<span><span>}</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span>

ab -n 5 -c 1 http ://www.weizhang.org/test.php

118.144.94.193 - - [22/Dec/2012:06:27:06 0000] "GET /test.php HTTP/1.0" 200 11000 " -" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012: 06:27:06 0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 0000] " GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [ 22/Dec/2012:06:27:07 0000] "GET /test.php HTTP/1.0 " 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06: 27:07 0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench /2.3"

brust와 nodelay가 설정되지 않은 경우 이 구성에서는 둘째, 과도한 요청은 503 오류를 반환합니다

<span>http<span>{<span>    <span>...<span>    limit_req_zone $binary_remote_addr zone<span>=<span>allips<span>:<span>10m<span> rate<span>=<span>60r<span>/<span>m<span>;<span>    <span>...<span>    server<span>{<span>        <span>...<span>        location <span>{<span>            <span>...<span>            limit_req zone<span>=<span>allips burst<span>=<span>1<span> nodelay<span>;<span>            <span>...<span>        <span>}<span>        <span>...<span>    <span>}<span>    <span>...<span><span>}</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span>

ab -n 5 -c 1 http ://www.weizhang.org/test.php

118.144.94.193 - - [ 22/Dec/2012:07:01:00 0000] "GET /test.php HTTP/1.0" 200 11000 " -" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07: 01:00 0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 0000] "GET / test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [ 22/Dec/2012:07:01:01 0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07: 01:01 0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3 "

brust=1로 설정하고 nodelay를 설정한 후 1초에 두 개의 요청을 처리할 수 있습니다.

위 내용을 포함하여 PHP nginx가 IP 요청 수와 동시성 수를 제한하는 방법을 소개합니다. PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.