Nginx学习笔记：如何防止流量攻击

更多深度文章，请关注云计算频道：https://yq.aliyun.com/cloud

使用场景

最近，报告查询系统负载均衡集群相关配置已经完成，两种实现方式分别是基于Ehcache和Redis的session管理策略。

大家都知道服务器资源有限的，但是客户端来的请求是无限的(不排除恶意攻击)， 为了保证大部分的请求能够正常响应，不得不放弃一些客户端来的请求，所以我们会采用Nginx的限流操作， 这种操作可以很大程度上缓解服务器的压力， 使其他正常的请求能够得到正常响应。

如何使用Nginx实现基本的限流，比如单个IP限制每秒访问50次。通过Nginx限流模块，我们可以设置一旦并发连接数超过我们的设置，将返回503错误给客户端。这样可以非常有效的防止CC攻击。再配合 iptables防火墙，基本上CC攻击就可以无视了。

如何使用

conf配置

#统一在http域中进行配置#限制请求limit_req_zone $binary_remote_addr $uri zone=api_read:20m rate=50r/s;#按ip配置一个连接 zonelimit_conn_zone $binary_remote_addr zone=perip_conn:10m;#按server配置一个连接 zonelimit_conn_zone $server_name zone=perserver_conn:100m;server {

配置503错误

默认情况，超出限制额度，将会报503错误，提示：

503 Service Temporarily Unavailable

这样显示没毛病，但是不够友好，这里我们自定义503错误。

error_page 500 502 503 504 /50x.html;

配置说明

limit_conn_zone

是针对每个IP定义一个存储session状态的容器。这个示例中定义了一个100m的容器，按照32bytes/session，可以处理3200000个session。

limit_rate 300k;

对每个连接限速300k. 注意，这里是对连接限速，而不是对IP限速。如果一个IP允许两个并发连接，那么这个IP就是限速limit_rate×2。

burst=5；

这相当于在检查站req旁边放5个座位。如果某个请求当时超过速度限制被拦了，请他在空座位上坐着，等排队，如果检查站空了，就可以通过。如果连座位都坐满了，那就抱歉了，请求直接退回，客户端得到一个服务器忙的响应。所以说burst跟request_rate一点关系都没有，设成10000，就是1万个请求可以等着排队，而检查站还是1秒钟放行5个请求（龟速）。而且也不能一直排队，所以nginx还设了超时，排队超过一定时间，也是直接退回，返回服务器忙的响应。