举个栗子,我开了一家店买卖很好,隔壁邻居看不下去了叫他的七大姑八大姨每天都到我的店里来占着位置却不买东西,这样我的买卖自然就弗成了。也便是攻击者利用“肉鸡”对目标网站在较短的韶光内发起大量要求,大规模花费目标网站的主机资源,让它无法正常做事。在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。
如何应对DDoS攻击防止DDoS攻击有很多种方法,比如利用高防做事器、CDN加速、DDoS洗濯等。但是由于经费的限定,我们整不起那些个高大上的玩意,以是只能在我们现有的材料上加工加工来达到应对DDoS攻击的目的。
限定每秒的要求数
ngx_http_limit_req_module模块通过漏桶事理来限定单位韶光内的要求数,一旦单位韶光内要求数超过限定就会返回503缺点。
在nginx.conf中新增如下配置:
http { limit_req_zone $binary_remote_addr zone=one:10m rate=100r/s; //触发条件,所有访问ip 限定每秒10个要求 ... server { ... location ~ \.php$ { limit_req zone=one burst=5 nodelay; //实行的动作,通过zone名字对应 } } }
以上配置用到的一些参数:
参数含义:
由于利用的是漏桶事理,以是实在这个配置不止能用来防止DDoS攻击,还能用作做事器的限流。
限定单个IP的连接数
ngx_http_limit_conn_module模块可以用来限定单个IP的连接数,配置如下:
http { limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件 ... server { ... location /download/ { limit_conn addr 2; // 限定同一韶光内2个连接,超出的连接返回503 } } }
通过大略的配置使我们的做事能够过滤掉一些DDoS攻击,但是在专业的黑客面前这些确实都只能算是小菜,想要真正提高做事器的抗压能力,还是得利用专业的工具。
