最近看了一些 Nginx 的配置的文章主要和性能有关,包括一些安全上的配置,并不对所有设备适用,总结下来觉得有用的可以自取,另外是加深自己对服务器的理解。其中有一些有关 DDOS 的配置。内容参考了两篇文章和自己的一些安全理解。文章地址如下:
基本配置路径一般在 /etc/nginx/nginx.conf ,如果站点配置文件不是 nginx.conf,而是独立的站点配置文件,那就到相应的站点去修改配置。
host header attack 攻击修复
在server模块中添加:
现在的 DDOS 基于应用层的比较多,比如 CC 攻击。通常有如下特点:
根据以上的相关特征可以做以下配置来抵抗 DDOS 攻击
limit_req_zone $binary_remote_addr zone=one:10m rate=2/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;
在 server 中添加
server {
client_body_timeout 5s;
client_header_timeout 5s;
}
比如,如果你判定攻击是针对一个特定的 URL:/foo.php,攻击请求的 User-Agent 中包含 foo 或 bar 我们就可以屏蔽到这个页面的请求:
location /foo.php {
deny all;
}
location /{
if ($http_user_agent ~* foo|bar) {
return 403;
}
}
Nginx 和 Nginx Plus 可以作为抵御 DDOS 攻击的一个有力手段,而且 Nginx Plus 中提供了一些附加的特性来更好的抵御 DDOS 攻击并且当攻击发生时及时的识别到。
来源:Brick713的小黑屋 原文:http://t.cn/AiNKwR3F 题图:来自谷歌图片搜索 版权:本文版权归原作者所有 投稿:欢迎投稿,投稿邮箱: editor@hi-linux.com
推荐阅读