nginx 防御与优化

曾经终败给现在 2022-12-01 11:42 118阅读 0赞

# 一、防御 #

[http://www.360doc.com/content/15/1104/16/28748685\_510720615.shtml][http_www.360doc.com_content_15_1104_16_28748685_510720615.shtml]

HTTP请求头防御：[https://www.nginx.com/blog/nginx-protect-cve-2015-1635/?\_ga=1.14368116.2137319792.1439284699\#proxy\_set\_header][https_www.nginx.com_blog_nginx-protect-cve-2015-1635_ga_1.14368116.2137319792.1439284699_proxy_set_header]

###     1.1、限制请求速度  ###

[https://blog.csdn.net/hellow\_\_world/article/details/78658041][https_blog.csdn.net_hellow_world_article_details_78658041]

**    第一段配置参数：**

*  $binary\_remote\_addr ：表示通过remote\_addr这个标识来做限制，“binary\_”的目的是缩写内存占用量，是限制同一客户端ip地址
 *  zone=one:10m：表示生成一个大小为10M，名字为one的内存区域，用来存储访问的频次信息
 *  rate=1r/s：表示允许相同标识的客户端的**访问频次**，这里限制的是每秒1次，即每秒只处理一个请求，还可以有比如**30r/m的，即限制每2秒访问一次，即每2秒才处理一个请求**。

**    第二段配置参数：**

*  zone=one ：设置使用哪个配置区域来做限制，与上面limit\_req\_zone 里的name对应
 *  burst=5：重点说明一下这个配置，burst爆发的意思，这个配置的意思是设置一个大小为5的缓冲区当有大量请求（爆发）过来时，超过了**访问频次**限制的**请求可以先放到这个缓冲区内等待，但是这个等待区里的位置只有5个**，超过的请求会直接报503的错误然后返回。
 *  nodelay：
    
     *  **如果设置，会在瞬时提供处理(burst + rate)个请求的能力**，请求超过（**burst + rate）**的时候就会直接返回503，永远**不存在请求需要等待的情况**。（这里的rate的单位是：r/s）
     *  如果没有设置，则所有请求会依次等待排队

http {
        limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m; #限制请求速度
        server {
            location / {
                limit_req zone=one burst=5 nodelay; #等待区里的位置只有5个
            }
        }
    }

###     1.2、限制连接数量 ###

http {
        limit_conn_zone $binary_remote_addr zone=addr:10m; #限制连接数量
        server {
            location / {
                limit_conn addr 1;#是限制每个IP只能发起1个连接 （addr 要跟 limit_conn_zone 的变量对应）
            }
        }
    }

###     1.3、关闭慢链接 ###

http {
        server {
    		client_body_timeout 100ms;
    		client_header_timeout 100ms;
        }
    }

###     1.4、设置黑白名单 ###

http {
        limit_conn_zone $binary_remote_addr zone=addr:10m; #限制连接数量
        server {
            location / {
    			#deny 127.0.0.1; #禁止访问
    			#deny all; #禁止所有
    			allow 127.0.0.1; #白名单
            }
        }
    }

# 二、优化 #

[http_www.360doc.com_content_15_1104_16_28748685_510720615.shtml]: http://www.360doc.com/content/15/1104/16/28748685_510720615.shtml
[https_www.nginx.com_blog_nginx-protect-cve-2015-1635_ga_1.14368116.2137319792.1439284699_proxy_set_header]: https://www.nginx.com/blog/nginx-protect-cve-2015-1635/?_ga=1.14368116.2137319792.1439284699#proxy_set_header
[https_blog.csdn.net_hellow_world_article_details_78658041]: https://blog.csdn.net/hellow__world/article/details/78658041