|
|
對於負載量比較高的伺服器,可以設定每一位使用者可使用的資源上限,例如同時間最大連線數、連線頻率(每秒或每分鐘連線次數)以及下載速度。
) h% u( r* k: L- { X8 I, ?* L
同時間最大連線數若要限制同時間最大連線數,首先要使用 limit_conn_zone 定義一個 key 與 zone 參數:- limit_conn_zone $binary_remote_addr zone=addr:10m;
複製代碼 說明:6 t! O5 i/ [/ f" ~; X
定義一個名為 addr 的 zone,空間大小是 10MB,worker 行程會使用這個 zone 所配置的共享記憶體空間來儲存 key 的計數值。我們使用 $binary_remote_addr 來作為判斷來源 IP 的依據(key),會使用這個二進位的變數來作為 key 是因為它跟一般的字串比起來,會比較省空間,如果 zone 所配置的共享記憶體空間用完了,那伺服器就會回傳 503(Service Temporarily Unavailable)的錯誤訊息。7 ~0 O# _" O0 ?" c H
7 h7 s# u% c) W+ N# K; Y2 K8 K6 b0 G) ^5 W9 i- b
接著使用 limit_conn 指定一個 IP 同時間可以允許的最大連線數:8 h5 U' t' Z# Y- B
- location /download/ {
( @6 s2 I. v+ V1 @! Q# p - limit_conn addr 5;# o' S, f+ o* v
- }
複製代碼
' T' F4 w+ @3 @' s, s+ S9 i6 X
或是在 server 段針對Domain而不針對上例的目錄來限制連線1 r0 ~0 [, C' H; q1 A' Y# ?. O
- .- w4 D6 w; l9 @
- .0 ]# Y0 H* ~) {& {& \
- .
) T y+ g) T( H; {. X$ u( P - server {) p/ h8 l& X3 o
- .
) X" Q/ ~2 V, e6 m# G; P - .) l9 B+ ^# ^0 {2 x
- limit_conn addr 5;* |8 C0 B- U0 l" s
- .
4 ~+ L f3 U9 g0 W, B$ v, | - ./ S) d; K3 }9 E! \4 z( `* ?% S
- }
複製代碼 ' m, x' G- n3 f6 O+ |+ D; D4 A; P
& |, \" W- J) m1 P1 y7 [# n) W連線頻率(每個IP單位時間的連線數)0 M* D @) [& C8 }
* ~% y4 q. t) w2 D: m
- Q; c: i$ F* ?: i' K, H9 V
若要限制連線頻率,首先也是一樣要用 limit_req_zone 定義 key 與 zone 參數:
! E |# G$ V$ Z; G3 g- limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
複製代碼 ' x$ B2 _0 v. H4 v4 N6 W3 s
除了定義 zone 的名稱與大小之外,還加上了一個 rate 指定連線頻率的上限,單位可以使用每秒的連線次數(r/s)或是每分鐘的連線次數(r/m),r是request,例如若要指定每分鐘不可超過 30 次連線,則設定為 30r/m。
3 _& A/ ] C1 x( l2 G7 @ g5 U/ o- f2 D& ]+ {6 D# ~
3 Y$ m6 g3 X$ r% p9 q然後在需要限制連線頻率的地方加上 limit_req 的設定:% w! K! w8 [) F
- location /download/ {! K' Y: ]0 O/ x- b$ Q' _3 ?: `: ^; i
- limit_req zone=one burst=5;0 I) ?- B" E; q# g: t! {
- }
複製代碼
* m6 i$ g) Z7 F* e1 D或是在 server 段針對Domain而不針對上例的目錄來限制頻率。8 z" h- g- E8 z, h1 I) J7 h
- .0 V, U$ P' U5 U4 Q
- .. c& P; u' v+ o# l9 y5 e8 P
- .$ p% y% {% i2 h2 r/ P' H& z
- server {% m0 {# Q0 n, p' ]7 J) S; X
- .4 g+ t, }5 c, `& @9 M C: ]8 E& V
- .+ n1 q5 R ] |+ c3 u! v9 a# L, E
- <span style="font-family: Tahoma;">limit_req zone=one burst=5;</span>7 @6 k0 r9 |" h9 I! O L
- .
. u; s Q% w; u0 h5 \; H - .
2 h( X* H" x- v4 `/ R1 [' } - }
複製代碼
6 X) a1 O3 a2 a9 ^# w
3 C2 z2 u% V- B" D結論:
+ h; q# Q/ X) }: P5 c2 e8 ^' d* @5 l: Z+ e7 h# Z3 E. o! z
對於以上的設定可以有效防止駭客攻擊以及那些有心之徒試圖消耗你無畏的頻寬。
+ M8 T! h7 S! y+ h. ~
) A: U7 N1 i+ r ]* A" y其他請參閱 :9 v1 T B6 d$ J) i9 B4 _. h4 J2 b( C; ^
https://blog.gtwang.org/linux/ng ... address-tutorial/2/
* s& F7 \! F7 E! y: t$ {http://www.nginx.cn/446.html
; F; m9 c6 x9 \; i+ C* G8 e. ]$ U" u* ^ s0 Z8 A) ~6 w4 q
|
|
|