nginx抵御cc攻击的核心在于限制请求速率和并发连接数。1. 使用limit_req模块控制请求速率,如每秒每个ip最多1个请求;2. 使用limit_conn模块限制并发连接数,如单ip最大10个连接;3. 可结合burst参数允许突发流量,并通过nodelay控制拒绝策略;4. 可针对特定url或用户代理进行更细粒度的限制;5. 通过error_page自定义限流后的错误页面;6. 调整参数时需结合基线测试、逐步优化并考虑用户体验;7. 配合waf、验证码、cdn、黑名单等手段增强防护;8. 利用nginx日志、stub_status模块及第三方工具监控限流效果并持续优化配置。
Nginx 抵御 CC 攻击,核心在于限制请求速率和并发连接数。limit_req 控制请求速率,limit_conn 控制并发连接数。两者结合,能在一定程度上缓解 CC 攻击带来的压力。
解决方案
配置 Nginx 抵御 CC 攻击,主要通过 limit_req 和 limit_conn 模块来实现。以下是一个基本的配置示例,并附带详细解释:
-
定义共享内存区域:
http { limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s; limit_conn_zone $binary_remote_addr zone=connlimit:10m; }-
limit_req_zone: 定义一个名为mylimit的共享内存区域,大小为 10MB。$binary_remote_addr作为 key,表示基于客户端 IP 地址进行限制。rate=1r/s表示允许每个 IP 地址每秒最多发起 1 个请求。 -
limit_conn_zone: 定义一个名为connlimit的共享内存区域,大小为 10MB。同样使用$binary_remote_addr作为 key,用于限制单个 IP 的并发连接数。
-
-
应用限制规则:
server { location / { limit_req zone=mylimit burst=5 nodelay; limit_conn connlimit 10; # 其他配置... } }-
limit_req zone=mylimit burst=5 nodelay;: 对/路径应用mylimit区域定义的限制规则。burst=5允许客户端在超过速率限制时,最多可以有 5 个请求被缓冲(突发流量)。nodelay表示超过burst值的请求立即被拒绝。如果不加nodelay,Nginx 会尝试延迟处理这些请求,可能会消耗更多资源。 -
limit_conn connlimit 10;: 限制单个 IP 地址到/路径的并发连接数为 10。
-
-
更细粒度的控制 (可选):
可以针对特定的 URL 或用户代理进行更细粒度的限制。例如,针对 POST 请求进行更严格的限制:
location /api/ { limit_req zone=mylimit burst=2 nodelay; limit_conn connlimit 5; # 其他配置... } -
处理被限制的请求:
默认情况下,被限制的请求会返回 503 Service Unavailable 错误。可以通过
error_page指令自定义错误页面:error_page 503 /503.html; location = /503.html { root /usr/share/nginx/html; internal; }这会将 503 错误重定向到自定义的
/503.html页面。internal指令确保该页面只能通过内部重定向访问。
如何根据业务调整 limit_req 和 limit_conn 的值?
调整 limit_req 和 limit_conn 的值需要结合实际业务情况进行。过低的限制会导致正常用户受到影响,过高的限制则无法有效防御 CC 攻击。
-
基线测试: 在正常流量情况下,监控 Nginx 的请求速率和并发连接数。可以使用 Nginx 的
stub_status模块或者第三方监控工具(如 Prometheus + Grafana)来收集数据。location /nginx_status { stub_status; allow 127.0.0.1; deny all; }访问
/nginx_status可以查看当前的活动连接数、请求速率等信息。 逐步调整: 根据基线测试的结果,逐步增加
limit_req和limit_conn的值,同时持续监控服务器的性能。观察错误率: 监控 Nginx 的 503 错误率。如果错误率过高,说明限制过于严格,需要适当放宽限制。
动态调整: 使用 Nginx Plus 可以实现动态调整
limit_req和limit_conn的值,无需重启 Nginx。这在应对突发流量或攻击时非常有用。考虑用户体验: 在设置限制规则时,需要考虑到正常用户的体验。可以针对不同的用户群体设置不同的限制规则。例如,对于登录用户,可以放宽限制;对于未登录用户,可以设置更严格的限制。
除了 limit_req 和 limit_conn,还有哪些方法可以防御 CC 攻击?
除了 limit_req 和 limit_conn,还有其他一些方法可以防御 CC 攻击:
Web 应用防火墙 (WAF): WAF 可以检测和过滤恶意请求,例如 SQL 注入、跨站脚本攻击 (XSS) 等。一些 WAF 也具有 CC 防护功能。
验证码 (CAPTCHA): 在关键页面(例如登录页面、注册页面)添加验证码,可以有效防止机器人攻击。
JavaScript 挑战: 使用 JavaScript 挑战来验证客户端是否是真实的浏览器。这可以有效防止一些简单的 CC 攻击。
HTTP/2 和 HTTP/3 的支持: HTTP/2 和 HTTP/3 协议具有更好的性能和安全性,可以有效缓解 CC 攻击带来的压力。
CDN (内容分发网络): CDN 可以将网站的内容缓存到全球各地的节点,从而减轻源服务器的压力。
黑名单和白名单: 根据 IP 地址、用户代理等信息,设置黑名单和白名单,可以有效阻止恶意请求。
使用 rate limiting 的第三方服务: 像 Cloudflare 这样的服务提供了强大的 rate limiting 功能,可以根据各种规则来限制请求速率。
如何监控和分析 Nginx 的限流效果?
监控和分析 Nginx 的限流效果对于优化配置至关重要。以下是一些常用的方法:
Nginx 日志: 分析 Nginx 的访问日志,可以了解请求速率、错误率等信息。可以使用工具(例如
awk、grep)来提取相关数据。Nginx Plus 的实时监控: Nginx Plus 提供了实时监控功能,可以查看当前的请求速率、错误率、连接数等信息。
第三方监控工具: 使用 Prometheus + Grafana、Datadog 等第三方监控工具,可以更全面地监控 Nginx 的性能。
自定义指标: 可以使用 Nginx 的
ngx_http_stub_status_module模块或者ngx_http_lua_module模块来收集自定义指标,例如被限制的请求数量、平均响应时间等。日志分析工具: 使用像 ELK Stack (Elasticsearch, Logstash, Kibana) 这样的日志分析工具,可以对 Nginx 日志进行更深入的分析,发现潜在的问题。
通过持续监控和分析 Nginx 的限流效果,可以及时发现问题并进行优化,从而更好地防御 CC 攻击。
