nginx 可以使用ngx_http_limit_req對服務器資源請求進行限制械蹋,這對使用ab等工具惡意壓測服務器和cc(challenge Collapsar)會有一定的防范作用蒿讥。
該模塊使用漏斗算法(Leaky Bucket)砌创,該算法有兩種處理方式Traffic Shaping和Traffic Policing
在桶滿水之后叠蝇,常見的兩種處理方式為:
1.暫時攔截住上方水的向下流動颅停,等待桶中的一部分水漏走后卷谈,再放行上方水吸重。
2.溢出的上方水直接拋棄师枣。
將水看作網(wǎng)絡通信中數(shù)據(jù)包的抽象怪瓶,則方式1起到的效果稱為Traffic Shaping,方式2起到的效果稱為Traffic Policing
由此可見坛吁,Traffic Shaping的核心理念是"等待"劳殖,Traffic Policing的核心理念是"丟棄"。它們是兩種常見的流速控制方法
nginx中該模塊的使用配置示例
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
location /search/ {
limit_req zone=one burst=5 nodelay;
}
第一段配置
第一個參數(shù):$binary_remote_addr 表示通過remote_addr這個標識來做限制拨脉,“binary_”的目的是縮寫內(nèi)存占用量哆姻,是限制同一客戶端ip地址
第二個參數(shù):zone=one:10m表示生成一個大小為10M,名字為one的內(nèi)存區(qū)域玫膀,用來存儲訪問的頻次信息
第三個參數(shù):rate=1r/s表示允許相同標識的客戶端的訪問頻次矛缨,這里限制的是每秒1次,還可以有比如30r/m的
第二段配置
第一個參數(shù):zone=one 設置使用哪個配置區(qū)域來做限制帖旨,與上面limit_req_zone 里的name對應
第二個參數(shù):burst=5箕昭,重點說明一下這個配置,burst爆發(fā)的意思解阅,這個配置的意思是設置一個大小為5的緩沖區(qū)當有大量請求(爆發(fā))過來時落竹,超過了訪問頻次限制的請求可以先放到這個緩沖區(qū)內(nèi)
第三個參數(shù):nodelay,如果設置货抄,超過訪問頻次而且緩沖區(qū)也滿了的時候就會直接返回503述召,如果沒有設置朱转,則所有請求會等待排隊
下面這個配置可以限制特定UA(比如搜索引擎)的訪問
limit_req_zone $anti_spider zone=one:10m rate=10r/s;
limit_req zone=one burst=100 nodelay;
if ($http_user_agent ~* "googlebot|bingbot|Feedfetcher-Google") {
set $anti_spider $http_user_agent;
}
