怎么使用Nginx、Nginx Plus抵御DDOS攻击-Nginx-PHP中文网

首页

运维

Nginx

怎么使用Nginx、Nginx Plus抵御DDOS攻击

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 14, 2023 pm 08:34 PM

nginxddos

一、应用层ddos攻击的特征

应用层(七层/http层)ddos 攻击通常由木马程序发起，其可以通过设计更好的利用目标系统的脆弱点。例如，对于无法处理大量并发请求的系统，仅仅通过建立大量的连接，并周期性的发出少量数据包来保持会话就可以耗尽系统的资源，使其无法接受新的连接请求达到 ddos 的目的。其他还有采用发送大量连接请求发送大数据包的请求进行攻击的形式。因为攻击是由木马程序发起，攻击者可以在很短时间内快速建立大量的连接，并发出大量的请求。

以下是一些ddos的特证，我们可以据此特征来抵抗 ddos(包括但不限于)：

攻击经常来源于一些相对固定的 ip 或 ip 段，每个 ip 都有远大于真实用户的连接数和请求数。(备注：这并不表明这种请求都是代表着 ddos 攻击。在很多使用nat的网络架构中，很多的客户端使用网关的 ip 地址访问公网资源。但是，即便如此，这样的请求数和连接数也会远少于 ddos 攻击。)
因为攻击是由木马发出且目的是使服务器超负荷，请求的频率会远远超过正常人的请求。
user-agent 通常是一个非标准的值
referer 有时是一个容易联想到攻击的值

二、使用nginx、nginx plus抵抗ddos攻击

结合上面提到的 ddos 攻击的特征，nginx、nginx plus有很多的特性可以用来有效的防御 ddos 攻击，可以从调整入口访问流量和控制反向代理到后端服务器的流量两个方面来达到抵御 ddos 攻击的目的。

1. 限制请求速度

设置 nginx、nginx plus 的连接请求在一个真实用户请求的合理范围内。比如，如果你觉得一个正常用户每两秒可以请求一次登录页面，你就可以设置 nginx 每两秒钟接收一个客户端 ip 的请求(大约等同于每分钟30个请求)。

limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m; 
server { 
... 
location /login.html { 
limit_req zone=one; 
... 
} 
}

`limit_req_zone` 命令设置了一个叫 one 的共享内存区来存储请求状态的特定键值，在上面的例子中是客户端 ip($binary_remote_addr)。location 块中的 `limit_req` 通过引用 one 共享内存区来实现限制访问 /login.html 的目的。

2. 限制连接数量

设置 nginx、nginx plus 的连接数在一个真实用户请求的合理范围内。比如，你可以设置每个客户端 ip 连接 /store 不可以超过10个。

limit_conn_zone $binary_remote_addr zone=addr:10m; 
server { 
... 
location /store/ { 
limit_conn addr 10; 
... 
} 
}

`limit_conn_zone` 命令设置了一个叫 addr 的共享内存区来存储特定键值的状态，在上面的例子中是客户端 ip( $binary_remote_addr)。location 块中 `limit_conn` 通过引用 addr 共享内存区来限制到 /store/ 的最大连接数为10。

3. 关闭慢连接

有一些 ddos 攻击，比如 slowlris，是通过建立大量的连接并周期性的发送一些数据包保持会话来达到攻击目的，这种周期通常会低于正常的请求。这种情况我们可以通过关闭慢连接来抵御攻击。

`client_body_timeout` 命令用来定义读取客户端请求的超时时间，`client_header_timeout` 命令用来定于读取客户端请求头的超时时间。这两个参数的默认值都是 60s，我们可以通过下面的命令将他们设置为 5s：

server { 
client_body_timeout 5s; 
client_header_timeout 5s; 
... 
}

4. 设置ip黑名单

如果确定攻击来源于某些 ip 地址，我们可以将其加入黑名单，nginx 就不会再接受他们的请求。比如，你已经确定攻击来自于从123.123.123.1到123.123.123.16的一段 ip 地址，你可以这样设置：

location / { 
deny 123.123.123.0/28; 
... 
}

或者你确定攻击来源于123.123.123.3、123.123.123.5、123.123.123.7几个ip，可以这样设置：

location / { 
deny 123.123.123.3; 
deny 123.123.123.5; 
deny 123.123.123.7; 
... 
}

5. 设置ip白名单

如果你的网站仅允许特定的 ip 或 ip 段访问，你可以结合使用 allow 和 deny 命令来限制仅允许你指定的 ip 地址访问你的网站。如下，你可以设置仅允许 192.168.1.0 段的内网用户访问：

location / { 
allow 192.168.1.0/24; 
deny all; 
... 
}

deny 命令会拒绝除了 allow 指定的 ip 段之外的所有其他 ip 的访问请求。

6. 使用缓存进行流量削峰

通过打开 nginx 的缓存功能并设置特定的缓存参数，可以削减来自攻击的流量，同时也可以减轻对后端服务器的请求压力。以下是一些有用的设置：

proxy_cache_use_stale ` 的 updating 参数告诉 nginx 什么时候该更新所缓存的对象。只需要到后端的一个更新请求，在缓存有效期间客户端对该对象的请求都无需访问后端服务器。当通过对一个文件的频繁请求来实施攻击时，缓存功能可极大的降低到后端服务器的请求。
proxy_cache_key ` 命令定义的键值通常包含一些内嵌的变量(默认的键值 $scheme$proxy_host$request_uri 包含了三个变量)。如果键值包含 `$query_string` 变量，当攻击的请求字符串是随机的时候就会给 nginx 代理过重的缓存负担，因此我们建议一般情况下不要包含 `$query_string` 变量。

7. 屏蔽特定的请求

可以设置 nginx、nginx plus 屏蔽一些类型的请求：

针对特定 url 的请求
针对不是常见的 user-agent 的请求
针对 referer 头中包含可以联想到攻击的值的请求
针对其他请求头中包含可以联想到攻击的值的请求

比如，如果你判定攻击是针对一个特定的 url：/foo.php，我们就可以屏蔽到这个页面的请求：

location /foo.php { 
deny all; 
}

或者你判定攻击请求的 user-agent 中包含 foo 或 bar，我们也可以屏蔽这些请求：

location / { 
if ($http_user_agent ~* foo|bar) { 
return 403; 
} 
... 
}

http_name 变量引用一个请求头，上述例子中是 user-agent 头。可以针对其他的 http 头使用类似的方法来识别攻击。

8. 限制到后端服务器的连接数

一个 nginx、nginx plus 实例可以处理比后端服务器多的多的并发请求。在 nginx plus 中，你可以限制到每一个后端服务器的连接数，比如可以设置 nginx plus 与 website upstream 中的每个后端服务器建立的连接数不得超过200个：

upstream website { 
server 192.168.100.1:80 max_conns=200; 
server 192.168.100.2:80 max_conns=200; 
queue 10 timeout=30s; 
}

`max_conns` 参数可以针对每一个后端服务器设置 nginx plus 可以与之建立的最大连接数。`queue` 命令设置了当每个后端服务器都达到最大连接数后的队列大小，`timeout` 参数指定了请求在队列中的保留时间。

9. 处理特定类型的攻击

有一种攻击是发送包含特别大的值的请求头，引起服务器端缓冲区溢出。nginx、nginx plus 针对这种攻击类型的防御，可以参考

[using nginx and nginx plus to protect against cve-2015-1635]
)

10. 优化nginx性能

ddos 攻击通常会带来高的负载压力，可以通过一些调优参数，提高 nginx、nginx plus 处理性能，硬抗 ddos 攻击，详细参考：

[tuning nginx for performance]

三、识别ddos攻击

到目前为止，我们都是集中在如何是用 nginx、nginx plus 来减轻 ddos 攻击带来的影响。如何才能让 nginx、nginx plus 帮助我们识别 ddos 攻击呢?`nginx plus status module` 提供了到后端服务器流量的详细统计，可以用来识别异常的流量。nginx plus 提供一个当前服务状态的仪表盘页面，同时也可以在自定义系统或其他第三方系统中通过 api 的方式获取这些统计信息，并根据历史趋势分析识别非正常的流量进而发出告警。

以上是怎么使用Nginx、Nginx Plus抵御DDOS攻击的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文转载于：亿速云。如有侵权，请联系admin@php.cn删除

nginx行动：示例和现实应用程序Apr 17, 2025 am 12:18 AM

NGINX可用于提升网站性能、安全性和可扩展性。1)作为反向代理和负载均衡器，NGINX可优化后端服务和分担流量。2)通过事件驱动和异步架构，NGINX高效处理高并发连接。3)配置文件允许灵活定义规则，如静态文件服务和负载均衡。4)优化建议包括启用Gzip压缩、使用缓存和调整worker进程。

NGINX单元：支持不同的编程语言Apr 16, 2025 am 12:15 AM

NGINXUnit支持多种编程语言，通过模块化设计实现。1.加载语言模块：根据配置文件加载相应模块。2.应用启动：调用语言运行时执行应用代码。3.请求处理：将请求转发给应用实例。4.响应返回：将处理后的响应返回给客户端。

在Nginx和Apache之间进行选择：适合您的需求Apr 15, 2025 am 12:04 AM

NGINX和Apache各有优劣，适合不同场景。1.NGINX适合高并发和低资源消耗场景。2.Apache适合需要复杂配置和丰富模块的场景。通过比较它们的核心特性、性能差异和最佳实践，可以帮助你选择最适合需求的服务器软件。

nginx怎么启动Apr 14, 2025 pm 01:06 PM

问题：如何启动 Nginx？答案：安装 Nginx启动 Nginx验证 Nginx 是否已启动探索其他启动选项自动启动 Nginx

怎么查看nginx是否启动Apr 14, 2025 pm 01:03 PM

确认 Nginx 是否启动的方法：1. 使用命令行：systemctl status nginx（Linux/Unix）、netstat -ano | findstr 80（Windows）；2. 检查端口 80 是否开放；3. 查看系统日志中 Nginx 启动消息；4. 使用第三方工具，如 Nagios、Zabbix、Icinga。

nginx怎么关闭Apr 14, 2025 pm 01:00 PM

要关闭 Nginx 服务，请按以下步骤操作：确定安装类型：Red Hat/CentOS（systemctl status nginx）或 Debian/Ubuntu（service nginx status）停止服务：Red Hat/CentOS（systemctl stop nginx）或 Debian/Ubuntu（service nginx stop）禁用自动启动（可选）：Red Hat/CentOS（systemctl disable nginx）或 Debian/Ubuntu（syst