本文主要介紹了有關(guān)使用Nginx防御CC攻擊的一些配置。CC攻擊針對(duì)的是服務(wù)器上面的內(nèi)存和CPU資源，因此通常會(huì)找到一些比較高消耗的接口，例如search.php之類(lèi)的需要大量sql查詢(xún)的接口。因此，明白了這一點(diǎn)，我們就很好防御了，主要是針對(duì)單個(gè)ip地址的連接數(shù)和請(qǐng)求php文件的密度來(lái)控制的。

我們主要用到的是Nginx中提供的兩個(gè)limit模塊：

ngx_http_limit_conn_module  
ngx_http_limit_req_module 

一、白名單

首先這兩個(gè)模塊是支持白名單的，就是可能有某些IP地址，我們是不需要進(jìn)行限制的，比如可能會(huì)是搜索引擎啦什么的或者自己的IP，因此需要設(shè)置一個(gè)白名單,不需要的可跳過(guò)本步。具體方法：

在HTTP段中插入如下格式內(nèi)容，聲明白名單IP

http{    
.......    
geo $limited{    
      default 1;    
      #公司    
     119.123.5.0/24 0;   
  }    
.........    
}   

geo指令定義了一個(gè)白名單$limited變量，默認(rèn)值為1，如果客戶(hù)端IP在上面的范圍內(nèi)，$limited的值為0。

然后緊跟在上面內(nèi)容后使用map指令映射搜索引擎客戶(hù)端的ip為空串，如果不是白名單IP就顯示本身真實(shí)的IP，這樣搜索引擎iIP就不能存到limit模塊的內(nèi)存session中，所以不會(huì)限制白名單的IP訪(fǎng)問(wèn)。

map $limited $limit {    
                  1 $binary_remote_addr;   
                  0 "";    
        }  

二、訪(fǎng)問(wèn)頻率限制

訪(fǎng)問(wèn)頻率限制使用到的是ngx_http_limit_req_module，需要在兩個(gè)地方配置，首先在HTTP段中，聲明好這個(gè)模塊一些參數(shù)，如果有設(shè)置白名單，設(shè)置如下

http{    
...    
limit_req_zone $limit zone=one:10m rate=20r/m; ##平均20r/m 每分鐘20個(gè)請(qǐng)求    
...    
}   

如果沒(méi)有配置白名單，所有來(lái)訪(fǎng)IP都會(huì)限制，配置如下

http{    
...    
limit_req_zone $binary_remote_addr zone=one:10m rate=20r/m; ##平均20r/m 每分鐘20個(gè)請(qǐng)求  
...   
}   

解釋一下上面的參數(shù)，第一個(gè)代表的是需要限制的ip群，這個(gè)很好理解，第二個(gè)zone=one表示這個(gè)limit_zone的名字叫做one，后面的使用中可以用這個(gè)one來(lái)進(jìn)行指代，后面的15m，代表為這個(gè)zone分配10m的內(nèi)存，1m可以保存16000的$binary_remote_addr。最后一個(gè)是頻率，如果要按秒來(lái)算可以設(shè)置20r/s這樣。

最后是配置到Nginx的php的解析段

location ~ \.php$ {    
...    
limit_req zone=one burst=5 nodelay;   
...    
}   

指定了使用名字為one的zone，然后緩沖隊(duì)列為5，無(wú)延遲，如果不設(shè)置無(wú)延遲，訪(fǎng)問(wèn)會(huì)卡住。

三、訪(fǎng)問(wèn)連接限制

訪(fǎng)問(wèn)連接限制使用到的是ngx_http_limit_conn_module，也是需要在兩個(gè)地方配置，首先在HTTP段中，聲明好這個(gè)模塊一些參數(shù)，如果有設(shè)置白名單，設(shè)置如下

http{   
...    
limit_conn_zone $limit zone=addr:10m;    
...    
}   

如果沒(méi)有配置白名單，所有來(lái)訪(fǎng)IP都會(huì)限制，配置如下

view sourceprint?http{    
...    
limit_conn_zone $binary_remote_addr zone=addr:10m;   
...    
}   

參數(shù)的意思跟上面的差不多也就不多解釋了。

后面的就是在server段中進(jìn)行設(shè)置了，可以具體到某個(gè)目錄什么的了

server {    
    location /download/ {   
        limit_conn addr 5;    
    }  

大功告成，打完收工，記得要nginx -s reload一下哦~