52AV手機A片王|52AV.one

 找回密碼
 立即註冊
查看: 1421|回復: 0

[nginx|php-fpm] nginx限制某個IP同一時間的連線數及頻寬

[複製鏈接]
發表於 2016-3-30 23:00:43 | 顯示全部樓層 |閱讀模式
tid=34035&對於負載量比較高的伺服器,可以設定每一位使用者可使用的資源上限,例如同時間最大連線數、連線頻率(每秒或每分鐘連線次數)以及下載速度。1 r& x: K: ~7 G4 Q6 L: O

9 K6 j- Q4 \+ N4 n! ^2 ]同時間最大連線數若要限制同時間最大連線數,首先要使用 limit_conn_zone 定義一個 key 與 zone 參數:
  1. limit_conn_zone $binary_remote_addr zone=addr:10m;
複製代碼
說明:
3 l/ V5 i$ B1 r/ J# X6 M4 ~定義一個名為 addr 的 zone,空間大小是 10MB,worker 行程會使用這個 zone 所配置的共享記憶體空間來儲存 key 的計數值。我們使用 $binary_remote_addr 來作為判斷來源 IP 的依據(key),會使用這個二進位的變數來作為 key 是因為它跟一般的字串比起來,會比較省空間,如果 zone 所配置的共享記憶體空間用完了,那伺服器就會回傳 503(Service Temporarily Unavailable)的錯誤訊息。4 Y% K- O" L4 ]" k9 ?

- D; A% Q5 i4 D
3 ~5 i! o& S; i2 h
接著使用 limit_conn 指定一個 IP 同時間可以允許的最大連線數:
9 c5 o! G$ }1 ~& s2 d
  1. location /download/ {
    1 H1 B) R% ~8 Q% z& v2 _
  2.   limit_conn addr 5;, c: ?9 ~& E" ]$ e8 l
  3. }
複製代碼
/ |+ W/ j# R% a, U7 @; Z

1 b& v, B5 g- u& G1 n" g" M; `或是在 server 段針對Domain而不針對上例的目錄來限制連線

2 i" \1 `6 z2 k
  1. ., S/ R/ g% P6 R  ?$ R8 S) S
  2. .
    5 W% K6 j# y, k5 C
  3. .; D3 D  C( k, Y" N1 O, o: @
  4. server {
    7 Z9 }$ [* S0 j
  5.   .( p; B) Y( J. |7 Y: @
  6.   .
    # }6 h( [' m& ?/ g% _2 ~5 \: L/ d
  7.   limit_conn addr 5;
    # x& X) n/ h+ V! v
  8.   .
    # Z* M, @7 A( J8 F" L
  9.   .
    + Z0 Z7 o; a* [- }2 ]7 K
  10. }
複製代碼

/ N8 C# w" e  V  s

% J" j' V, w. O- T) K連線頻率(每個IP單位時間的連線數)

1 R* C# C0 a. o  m1 B  F5 u
, V+ \0 _9 {. j5 h+ }3 Q  l, h- \

: M0 S2 w: w/ a% p8 t) F- x9 U) S  f若要限制連線頻率,首先也是一樣要用 limit_req_zone 定義 key 與 zone 參數:
# \! E9 x$ C( n# T" _7 i6 P9 Q( A! x
  1. limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
複製代碼
/ b" F" B: ~# g; v' L* |9 n5 s
除了定義 zone 的名稱與大小之外,還加上了一個 rate 指定連線頻率的上限,單位可以使用每秒的連線次數(r/s)或是每分鐘的連線次數(r/m),r是request
例如若要指定每分鐘不可超過 30 次連線,則設定為 30r/m。: K* |. s# s( {6 b8 X

+ d  [' @, V8 U8 I. g  b
. I8 j1 O7 I- A. Y3 }$ Q
然後在需要限制連線頻率的地方加上 limit_req 的設定:

( }* R$ ~9 g8 j7 y" k! D4 Y
  1. location /download/ {# i; K3 ~3 {5 u" \& f
  2.   limit_req zone=one burst=5;
    6 {2 n( C. N5 C7 R2 e) N* s
  3. }
複製代碼
  {& I3 m+ l8 p3 l( }* p  K
或是在 server 段針對Domain而不針對上例的目錄來限制頻率" V- ~# v8 L9 r" j1 g6 r/ R
  1. .; B1 Y  p  }% n7 q8 }
  2. .. A3 L5 n& _( @, I) B+ O2 [
  3. .! M. a1 G# G: m; ^: v/ I6 U* F' S
  4. server {4 U+ h9 e8 q; U6 C' ~
  5.   .
    1 B- _- \3 Z% Y6 `
  6.   .
    8 ?( B* w8 E: H& [" H' T2 B
  7.   <span style="font-family: Tahoma;">limit_req zone=one burst=5;</span>
    4 v& b4 p; ^) J! G" |
  8.   .0 m8 I* M3 J4 j1 J" i6 u
  9.   .
    , L5 x! x/ k/ {3 H2 P, n7 l4 E
  10. }
複製代碼
: Y5 Q* N4 V  |

9 w6 ?8 U( u! k" w- G9 x結論:

9 u6 ]9 |9 l! e; V1 w! K
0 r  S' s3 t0 u# ]$ y對於以上的設定可以有效防止駭客攻擊以及那些有心之徒試圖消耗你無畏的頻寬
& u, k! T$ s* E4 _$ ~. }6 i

) B& G: G- w7 s1 h0 g其他請參閱 :
  ~/ ]: I8 i# v1 P, ~. dhttps://blog.gtwang.org/linux/ng ... address-tutorial/2/
7 c! t# H! \5 _! ?2 jhttp://www.nginx.cn/446.html
2 Q# `. R& q2 w! c
4 C+ L- }" e( S' Z* J' I  N
回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則



中文酷站排行榜

本區塊內容依據『電腦網路內容分級處理辦法』為限制級網站,限定年滿18歲以上或達當地國家法定年齡人士方可進入,且願接受本站各項條款,未滿18歲 謝絕進入瀏覽。為防範未滿18歲之未成年網友瀏覽網路上限制級內容的圖文資訊,建議您可進行網路內容分級組織ICRA分級服務的安裝與設定。 (為還給愛護 本站的網友一個純淨的論壇環境,本站設有管理員)

QQ|小黑屋|手機板| 52AV手機A片王

GMT+8, 2026-2-4 12:30 , Processed in 0.067868 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回復 返回頂部 返回列表