Nginx 限制IP并发数

前几天介绍了CC攻击及其防护方法，其中有一个方法是限制同一个IP的并发请求数量，以防止来自同一IP的大量高并发攻击

我的服务器一直没有配置这个限制，今天实验了一下，下面是配置过程

配置

示例

limit_conn addr 2; 表示限制并发数量最高为2 这个数字可以根据自己实际情况设置

测试

写了一个测试用的 a.php 在另一台服务器用ab命令测试并发效果 # ab -c 5 -t 10 http://192.2.4.31/a.php 这里指定并发数为5，大于上面配置的最高限制 回到nginx服务器查看访问日志 # tail -f access.log

可以看到很多请求的返回状态为503

增加 limit_conn addr 的值为10，再次用ab测试

会看到返回状态都为200了，说明配置生效

配置说明

其中有两个关键指令的定义 （1）limit_conn_zone limit_conn_zone $binary_remote_addr zone=addr:10m; limit_conn_zone 指令用来定义会话状态存储区域 $binary_remote_addr 表示以客户端的IP作为键 zone=addr:10m 表示分配一个名为 'addr' 的区域，空间大小为 10M 相当于这个区域记录了IP的会话状态信息 （2）limit_conn limit_conn 指令用来限制并发连接数 limit_conn addr 2; 表示到名为 'addr' 这个区域中检索IP键，不允许有超过2个的会话状态，超过的话会返回503 通过这两项配置，就可以实现IP并发限制