nginx 通过配置抵御不合法请求

目录[-]

ngx_http_limit_conn_module模块

使用此模块主要用来限制每秒请求数量,至于依据什么条件限制是由我们来自定义的。
官方文档 Module ngx_http_limit_req_module
中文翻译的 nginx限制请求数ngx_http_limit_req_module模块

文档讲的很详细了,大致说下:
limit_req_zone $variable zone=name:size rate=rate;
命令的意思是,以$variable变量为条件,起名为name,设置的存储空间大小为size,设置限定频率为rate;

我们可以设置**多个,不同条件,不同名称,不同大小的限制**。
这个定义我们是需要写在**http配置段中**。
在匹配的location中写上limit_req zone=name [burst=number] [nodelay];这里burst就是允许的漏桶数,当请求频率大于rate但是超出的数量不大于burst设置的数量,则nginx会将超出的请求延迟后面返回。如果请求数量超出burst了,则将超出部分直接返回错误码,默认503。至于nodelay就是设置是否要延迟,有它不超过burst的请求才延迟。
网上大多条件都是$binary_remote_addr,其实我们可以根据自己的需求,来定义自身的相应条件,活学活用嘛,下面会有实例。

ngx_http_limit_conn_module模块

这个模块主要限制单独ip同一时间的连接数
官方文档 Module ngx_http_limit_conn_module
中文翻译的 nginx限制连接数ngx_http_limit_conn_module模块

各位看文档吧,我的实战中没有使用此模块。


实战阶段

好了,下面进入实战阶段:
首先我们的初始配置文件时是(不完整):

http {    server {        listen  8080 default_server;        server_name  localhost:8080;        
    location ~ .* {		proxy_pass http://127.0.0.1:8080;		proxy_set_header X-Real-IP $remote_addr;
	    }
    }
}

我们的需求是,有一批接口被频繁的不合法访问,我们要做限制。 
第一版:限制为1s一次请求,漏桶数为5。

http {    limit_req_zone  $binary_remote_addr  zone=one:10m rate=1r/s;    server {        listen  8080 default_server;        server_name  localhost:8080;        
    location ~ .* {		proxy_pass http://127.0.0.1:8080;		proxy_set_header X-Real-IP $remote_addr;
	    }	    	location ^~ /interface {		limit_req zone=one burst=5 nodelay;		proxy_pass http://127.0.0.1:8080;
	    }
    }
}

这里加了proxy_pass http://127.0.0.1:8080;这里配置了转发,否则匹配之后会找不到服务器的。

但是这样会有个问题,目前我们是以ip做的限制,但是有可能网吧或者校内出口就是一个或几个ip,我们这样限制的话会把正常用户也限制到了,得不偿失。其实我们可以换一种思路来定位到单一用户,正常一个请求过来,我们都会设置携带一个关于用户的`token`信息。至于这个`token`是如何生成的,只有服务器知道,那我们加入我们的每次请求中,`header`中带有这个信息,`token`值,如果一个非法的请求可能没有这个值,即使有这个值我们也可以以`token`为条件来限制,这样更合理些。

第二版

http {

    limit_req_zone  $http_token  zone=two:10m rate=1r/s;
    server {
        listen  8080 default_server;
        server_name  localhost:8080;
        
    location ~ .* {
		proxy_pass http://127.0.0.1:8080;
		proxy_set_header X-Real-IP $remote_addr;
	    }
	    
	location ^~ /interface {
	    if($http_token=""){	        return 403;
	    }
		limit_req zone=two burst=5 nodelay;
		proxy_pass http://127.0.0.1:8080;
	    }
    }
}

nginx中,使用$http_变量名,取的就是header中相应的变量。

前方预警:我特意在这个配置中留了个坑,如果你像我这样配置的话,重启会报一个异常nginx: [emerg] unknown directive "if($http_token",很奇怪是不,这个异常我花了很长时间才解决,原因是if(中间需要个**空格**,没错,就是这个空格花了我好几个小时,血泪的教训啊,希望各位不要再重蹈覆辙。
这个问题的解决的文章:Nginx unknown directive “if($domain”

这次的配置,多少可以限制住的,对我一个nginx的小白来说,调研一点用一点,也是不错的

时间: 2024-11-05 18:58:36

nginx 通过配置抵御不合法请求的相关文章

通过配置nginx 抵御不合法请求

ngx_http_limit_conn_module模块 使用此模块主要用来限制每秒请求数量,至于依据什么条件限制是由我们来自定义的.官方文档 Module ngx_http_limit_req_module中文翻译的 nginx限制请求数ngx_http_limit_req_module模块 文档讲的很详细了,大致说下:limit_req_zone $variable zone=name:size rate=rate;命令的意思是,以$variable变量为条件,起名为name,设置的存储空间

【Nginx】配置、error日志和请求上下文

处理http配置项可以分为下面4个步骤: 1)创建数据结构用于存储配置项对应的参数 2)设定配置项在nginx.conf中出现时的限制条件与回调方法 3)实现第2步中的回调方法,或者使用Nginx框架预设的14个回调方法 4)合并不同级别的配置块中出现的同名配置项 一.分配用于保存配置参数的数据结构 创建结构体来存储配置项的参数值,使用create_main_conf,create_srv_conf.create_loc_conf这三个回调方法把我们分配的用于保存配置项的结构体传递给http框架

nginx的配置及模块详解

nginx: nginx是俄罗斯软件工程师Igor Sysoev开发的免费开源web服务器软件,nginx采用了模块化.事件驱动.异步.单线程及非阻塞的架构,并大量采用了多路复用及事件通知机制来实现高并发和高性能,解决C10K的问题,主要功能就是提供http和反向代理服务,以及邮件服务及反向代理等,并且具有多种web服务器功能特性:负载均衡,缓存,访问控制,带宽控制,以及高效整合各种应用的能力. 在nginx中,连接请求由为数不多的几个仅包含一个线程的进程worker以高效的回环(run-loo

linux下Nginx配置文件(nginx.conf)配置设置详解(windows用phpstudy集成)

linux备份nginx.conf文件举例: cp /usr/local/nginx/nginx.conf /usr/local/nginx/nginx.conf-20171111(日期) 在进程列表里 面找master进程,它的编号就是主进程号. ps -ef | grep nginx 查看进程 cat /usr/local/nginx/nginx.pid 每次修改完nginx文件都要重新加载配置文件linux命令: /usr/local/nginx -t //验证配置文件是否合法 若ngin

nginx安装配置

一.下载Nginx源文件 进入nginx官网下载nginx的稳定版本,我下载的是1.10.0. 下载:wget http://nginx.org/download/nginx-1.10.0.tar.gz 解压:tar -zxvf nginx-1.10.0.tar.gz 二.检查安装依赖项 执行下面的命令安装nginx的依赖库: yum -y install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel11 三.配置Nginx安

nginx 转发配置

Nginx配置proxy_pass转发的/路径问题 在nginx中配置proxy_pass时,如果是按照^~匹配路径时,要注意proxy_pass后的url最后的/,当加上了/,相当于是绝对根路径,则nginx不会把location中匹配的路径部分代理走;如果没有/,则会把匹配的路径部分也给代理走. location ^~ /static_js/ { proxy_cache js_cache; proxy_set_header Host js.test.com; proxy_pass http:

nginx location配置

nginx location配置 location在nginx中起着重要作用,对nginx接收到的请求字符串进行处理,如地址定向.数据缓存.应答控制.代理转发等 location语法 location [=|~|~*|^~] uri {...} []部分是匹配类型,可以没有,其中各项含义: (1)= 精准匹配,请求字符串必须和uri完全相同时匹配成功 (2)~ 区分大小写的正则匹配 (3)~* 不区分大小写的正则匹配 (4)^~ 注意这个不是正则匹配,表示uri以普通字符串开头, (5)空 表示

nginx + tomcat配置负载均衡

目标:Nginx做为HttpServer,连接多个tomcat应用实例,进行负载均衡. 注:本例程以一台机器为例子,即同一台机器上装一个nginx和2个Tomcat且安装了JDK1.7. 1.安装Nginx安装Nginx教程 2.配置两个Tomcat在本机上配置两个Tomcat,分别为tomcat7-8081.tomcat7-8082.tomcat7-8081访问地址:http://localhost:8081,浏览显示内容:this is 8081 porttomcat7-8082访问地址:h

nginx.conf配置

nginx.conf配置 在此记录下Nginx服务器nginx.conf的配置文件说明, 部分注释收集与网络. #运行用户 user www-data; #启动进程,通常设置成和cpu的数量相等 worker_processes  1; #全局错误日志及PID文件 error_log  /var/log/nginx/error.log; pid        /var/run/nginx.pid; #工作模式及连接数上限 events { use   epoll;             #ep