前言

Nginx是一款輕量級的Web服務器，由俄羅斯的程序設計師Igor Sysoev所開發，最初供俄國大型的入口網站及搜尋引Rambler使用。 其特點是占有內存少，并發能力強，事實上Nginx的并發能力確實在同類型的網站服務器中表現較好。

防御DDOS是一個系統工程，攻擊花樣多，防御的成本高瓶頸多，防御起來即被動又無奈。DDOS的 特點是分布式，針對帶寬和服務攻擊，也就是四層流量攻擊和七層應用攻擊，相應的防御瓶頸四層在帶寬，七層的多在架構的吞吐量。對于七層的應用攻擊，我們還 是可以做一些配置來防御的，例如前端是Nginx，主要使用nginx的http_limit_conn和http_limit_req模塊來防御。 ngx_http_limit_conn_module 可以限制單個IP的連接數，ngx_http_limit_req_module 可以限制單個IP每秒請求數，通過限制連接數和請求數能相對有效的防御CC攻擊。

下面這篇文章主要給大家介紹了關于Nginx防御DDOS攻擊的配置方法，分享出來供打擊參考學習，下面來一起看看詳細的介紹：

下面是配置方法：

一. 限制每秒請求數

ngx_http_limit_req_module模塊通過漏桶原理來限制單位時間內的請求數，一旦單位時間內請求數超過限制，就會返回503錯誤。配置需要在兩個地方設置：

nginx.conf的http段內定義觸發條件，可以有多個條件

在location內定義達到觸發條件時nginx所要執行的動作

例如：

http {  limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //觸發條件，所有訪問ip 限制每秒10個請求  ...  server {   ...   location ~ /.php$ {    limit_req zone=one burst=5 nodelay; //執行的動作,通過zone名字對應     }    }   } 

參數說明：

二.限制IP連接數

ngx_http_limit_conn_module的配置方法和參數與http_limit_req模塊很像，參數少，要簡單很多

http {  limit_conn_zone $binary_remote_addr zone=addr:10m; //觸發條件  ...  server {   ...   location /download/ {    limit_conn addr 1; // 限制同一時間內1個連接，超出的連接返回503     }    }  } 

三.白名單設置

http_limit_conn 和http_limit_req模塊限制了單ip單位時間內的并發和請求數，但是如果Nginx前面有lvs或者haproxy之類的負載均衡或者反向代 理，nginx獲取的都是來自負載均衡的連接或請求，這時不應該限制負載均衡的連接和請求，就需要geo和map模塊設置白名單：