前几天介绍了CC攻击及其防护方法,其中有一个方法是限制同一个IP的并发请求数量,以防止来自同一IP的大量高并发攻击
我的服务器一直没有配置这个限制,今天实验了一下,下面是配置过程
配置
示例
limit_conn addr 2; 表示限制并发数量最高为2 这个数字可以根据自己实际情况设置
测试
写了一个测试用的 a.php 在另一台服务器用ab命令测试并发效果 # ab -c 5 -t 10 http://192.2.4.31/a.php 这里指定并发数为5,大于上面配置的最高限制 回到nginx服务器查看访问日志 # tail -f access.log
可以看到很多请求的返回状态为503
增加 limit_conn addr 的值为10,再次用ab测试
会看到返回状态都为200了,说明配置生效
配置说明
其中有两个关键指令的定义 (1)limit_conn_zone limit_conn_zone $binary_remote_addr zone=addr:10m; limit_conn_zone 指令用来定义会话状态存储区域 $binary_remote_addr 表示以客户端的IP作为键 zone=addr:10m 表示分配一个名为 'addr' 的区域,空间大小为 10M 相当于这个区域记录了IP的会话状态信息 (2)limit_conn limit_conn 指令用来限制并发连接数 limit_conn addr 2; 表示到名为 'addr' 这个区域中检索IP键,不允许有超过2个的会话状态,超过的话会返回503 通过这两项配置,就可以实现IP并发限制