Nginx访问控制,限速limit_conn, limit_req
Nginx访问控制 —— deny_allow
Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。
除非在安装时有指定 --without-http_access_module。
语法:allow/deny address | CIDR | unix: | all
它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。
注意:unix在1.5.1中新加入的功能。
- 在nginx中,allow和deny的规则是按顺序执行的。
- 示例1
location /
{allow 192.168.0.0/24;allow 127.0.0.1;deny all;
}
说明:这段配置值允许192.168.0.0/24网段和127.0.0.1的请求,其他来源IP全部拒绝。
- 示例2:
location ~ "admin"
{allow 110.21.33.121;deny all
}
说明:访问的uri中包含admin的请求,只允许110.21.33.121这个IP的请求。
基于location的访问控制
- 在生产环境中,我们会对某些特殊的请求进行限制,比如对网站的后台进行限制访问。这就用到了location配置。
- 示例1
location /aming/
{deny all;
}
说明:针对/aming/目录,全部禁止访问,这里的deny all可以改为return 403.
- 示例2
location ~ ".bak|\.ht"
{return 403;
}
说明:访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。
测试链接举例:
- www.aminglinux.com/123.bak
- www.aminglinux.com/aming/123/.htalskdjf
- 示例3
location ~ (data|cache|tmp|image|attachment).*\.php$
{deny all;
}
说明:请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的,全部禁止访问。
测试链接举例:
- www.aminglinux.com/aming/cache/1.php
- www.aminglinux.com/image/123.phps
- www.aminglinux.com/aming/datas/1.php
基于$document_uri的访问控制
- 这就用到了变量
$document_uri,根据前面所学内容,该变量等价于$uri,其实也等价于location匹配。 - 示例1
if ($document_uri ~ "/admin/")
{return 403;
}
说明:当请求的uri中包含/admin/时,直接返回403.
- if结构中不支持使用allow和deny。
测试链接:
- www.aminglinux.com/123/admin/1.html 匹配
- www.aminglinux.com/admin123/1.html 不匹配
- www.aminglinux.com/admin.php 不匹配
- 示例2
if ($document_uri = /admin.php)
{return 403;
}
说明:请求的uri为/admin.php时返回403状态码。
测试链接:
4. www.aminglinux.com/admin.php 匹配
5. www.aminglinux.com/123/admin.php 不匹配
- 示例3
if ($document_uri ~ '/data/|/cache/.*\.php$')
{return 403;
}
说明:请求的uri包含data或者cache目录,并且是php时,返回403状态码。
测试链接:
6. www.aminglinux.com/data/123.php 匹配
7. www.aminglinux.com/cache1/123.php 不匹配
基于$request_uri访问控制
$request_uri比$docuemnt_uri多了请求的参数。
主要是针对请求的uri中的参数进行控制。- 示例
if ($request_uri ~ "gid=\d{9,12}")
{return 403;
}
说明:\d{9,12}是正则表达式,表示9到12个数字,例如gid=1234567890就符号要求。
测试链接:
- www.aminglinux.com/index.php?gid=1234567890&pid=111 匹配
- www.aminglinux.com/gid=123 不匹配
- 背景知识:
曾经有一个客户的网站cc攻击,对方发起太多类似这样的请求:/read-123405150-1-1.html
实际上,这样的请求并不是正常的请求,网站会抛出一个页面,提示帖子不存在。
所以,可以直接针对这样的请求,return 403状态码。
基于$user_agent的访问控制
- user_agent大家并不陌生,可以简单理解成浏览器标识,包括一些蜘蛛爬虫都可以通过user_agent来辨识。
- 通过观察访问日志,可以发现一些搜索引擎的蜘蛛对网站访问特别频繁,它们并不友好。
- 为了减少服务器的压力,其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉。
- 另外,一些cc攻击,我们也可以通过观察它们的user_agent找到规律。
- 示例
if ($user_agent ~ 'YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato')
{return 403;
}
说明:user_agent包含以上关键词的请求,全部返回403状态码。
测试:
- curl -A “123YisouSpider1.0”
- curl -A “MJ12bot/v1.4.1”
基于$http_referer的访问控制
- 之前说过这个变量,当时实现了防盗链功能。
其实基于这个变量,我们也可以做一些特殊的需求。 - 示例
背景:网站被黑挂马,搜索引擎收录的网页是有问题的,当通过搜索引擎点击到网站时,却显示一个博彩网站。
由于查找木马需要时间,不能马上解决,为了不影响用户体验,可以针对此类请求做一个特殊操作。
比如,可以把从百度访问的链接直接返回404状态码,或者返回一段html代码。
if ($http_referer ~ 'baidu.com')
{return 404;
}
或者
if ($http_referer ~ 'baidu.com')
{return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>";
}
Nginx的限速
- 可以通过ngx_http_limit_conn_module和ngx_http_limit_req_module模块来实现限速的功能。
ngx_http_limit_conn_module
该模块主要限制下载速度,针对每个IP的限速;
$binary_remote_addr获取到IP作为一个参数;
- 并发限制
配置示例
http
{...limit_conn_zone $binary_remote_addr zone=aming:10m; #这三句直接放到http里(nginx.conf);limit_conn_status 503; #限制时返回503; limit_conn_log_level error; #模块的错误日志级别;...server{...limit_conn aming 2;... }
}
说明:首先用limit_conn_zone定义了一个内存区块索引aming,大小为10m,它以$binary_remote_addr作为key。
该配置只能在http里面配置,不支持在server里配置。
limit_conn 定义针对aming这个zone,并发连接为10个。在这需要注意一下,这个10指的是单个IP的并发最多为10个。
测试方式:
具体虚拟主机配置:
server {listen 80;server_name www.aaa.com;root /data/wwwroot/www.aaa.com/;index index.html;
limit_conn aming 2; #并发数量为2;
access_log /data/logs/aaa.log main;}
使用ab压力测试,需要安装httpd使用;
yum install -y httpd
ab -n 5 -c 5 http://www.aaa.com/tom.tar #命令后查看日志;-n是请求的数量,-c是并发数量;
日志结果:(由于上面并发数量为2,其他返回503;)
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141"
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141"
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-" "192.168.87.141"
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 200 9672042 "-" "ApacheBench/2.3" "-" "192.168.87.141"
192.168.87.141 - - [25/Oct/2019:20:12:05 +0800] "GET /tom.tar HTTP/1.0" 200 9672042 "-" "ApacheBench/2.3" "-" "192.168.87.141"
- 速度限制
location ~ /download/ {
…
limit_rate_after 512k;
limit_rate 150k;
…
}
说明:limit_rate_after定义当一个文件下载到指定大小(本例中为512k)之后开始限速;
limit_rate 定义下载速度为150k/s。
注意:这两个参数针对每个请求限速。
ngx_http_limit_req_module
具体虚拟主机配置:
server {listen 80;server_name www.aaa.com;root /data/wwwroot/www.aaa.com/;index index.html;
#limit_conn aming 2;
limit_rate 10k;
access_log /data/logs/aaa.log main;}
设置后直接使用浏览器下载服务器目录里的文件,设置不同速度,需要的时间不一样。
ngx_http_limit_req_module
该模块主要用来限制请求数。请求是连接后的发起的,一个连接可以有多个请求。
- limit_req_zone
语法: limit_req_zone $variable zone=name:size rate=rate;
默认值: none
配置段: http
设置一块共享内存限制域用来保存键值的状态参数。 特别是保存了当前超出请求的数量。
键的值就是指定的变量(空值不会被计算)。还是以IP作为参数,对每个IP请求数和请求速度作出限制;
如limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;说明:
区域名称为one,大小为10m,平均处理的请求频率不能超过每秒一次,键值是客户端IP。
使用$binary_remote_addr变量, 可以将每条状态记录的大小减少到64个字节,这样1M的内存可以保存大约1万6千个64字节的记录。
如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回 503 (Service Temporarily Unavailable)错误。
rate速度可以设置为每秒处理请求数和每分钟处理请求数,其值必须是整数,所以如果你需要指定每秒处理少于1个的请求,2秒处理一个请求,可以使用 “30r/m”。
- limit_req
语法: limit_req zone=name [burst=number] [nodelay];
默认值: —
配置段: http, server, location
设置对应的共享内存限制域和允许被处理的最大请求数阈值。
如果请求的频率超过了限制域配置的值,请求处理会被延迟,所以所有的请求都是以定义的频率被处理的。
超过频率限制的请求会被延迟,直到被延迟的请求数超过了定义的阈值,这时,这个请求会被终止,并返回503 (Service Temporarily Unavailable) 错误。
这个阈值的默认值为0。如:
limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s;
server {
location /upload/ {
limit_req zone=aming burst=5;
}
}
限制平均每秒不超过一个请求,同时允许超过频率限制的请求数不多于5个。如果不希望超过的请求被延迟,可以用nodelay参数,马上返回503, 如:
limit_req zone=aming burst=5 nodelay;示例
http {limit_req_zone $binary_remote_addr zone=aming:10m rate=2r/s; #把这行放在http里;server {location ^~ /download/ { limit_req zone=aming burst=5; #生产中burst建议足够大;}}
}
- 测试配置
server {listen 80;server_name www.aaa.com;root /data/wwwroot/www.aaa.com/;index index.html;limit_req zone=aming burst=5;
access_log /data/logs/aaa.log main;}ab测试命令:
ab -n 10 -c 10 www.aaa.com/tom.tar日志结果:
发送了10个请求,六个200状态,4个503状态,除去第一个被处理的请示,同时处理了五个请求,余下超时返回503;
Nginx访问控制,限速limit_conn, limit_req相关推荐
- Nginx防盗链,Nginx访问控制, Nginx解析php相关配置, Nginx代理
2019独角兽企业重金招聘Python工程师标准>>> Nginx防盗链 Nginx防盗链配置需要与不记录日志和过期时间结合在一起,因为都用到了location. 打开配置文件,注释 ...
- Nginx访问控制_IP访问控制(http_access_module)原理、局限性、解决方法讲解
Nginx访问控制_IP访问控制(http_access_module)原理.局限性.解决方法讲解 参考文章: (1)Nginx访问控制_IP访问控制(http_access_module)原理.局限 ...
- linux的Nginx防盗链、Nginx访问控制、Nginx解析php相关配置、Nginx代理介绍
Nginx防盗链 思路与httpd一样,配置也不难,但要与过期时间.不记录日志配置结合起来. 1.配置文件内容 [root@gary-tao test.com]# vim /usr/local/ngi ...
- web服务器 ---nginx 虚拟主机的创建(基于 域名 . 端口 . ip )以及nginx访问控制
文章目录 前言 一:Nginx服务基础(理论) 二:Nginx虚拟主机实验 2.1:Nginx虚拟主机应用 2.2 具体步骤,配置基于域名的虚拟主机 2.2.1 安装环境软件软件 2.2.2 编译安装 ...
- nginx下载限速,解决下载并发量大导致带宽占满
nginx下载限速,解决下载并发量大导致带宽占满 原因:文件服务和业务服务在同一台机器上,下载病区视频导致带宽被占满(97M/100M) 解决方式:现在单个请求的带宽 修改nginx配置文件nginx ...
- Nginx 下载限速
一.限速介绍 在生产环境中,为了保护WEB服务器的安全,我们都会对用户的访问做出一些限制,保证服务器的安全及资源的合理分配. 限流(rate limiting)是NGINX众多特性中最有用的,也是经常 ...
- nginx 访问控制 防盗链
访问控制功能分为基于用户的访问控制及基于IP的访问控制 基于用户的访问控制 [root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf locat ...
- 【识记】Nginx 访问控制
1.Nginx 身份证验证 #cd /usr/local/nginx/conf #mkdir htpasswd /usr/local/apache2/bin/htpasswd -c /usr/loca ...
- 四、nginx访问控制
一.基于用户的访问控制 1. 安装htpasswd yum -y install httpd-tools 2. 生成密码文件 账号:admin 密码:123123 htpasswd -c -b /us ...
最新文章
- APP程序内部打开某个APP的AppStore页面
- 企业在管理系统方面要有主动权
- 【Python 爬虫】 2、HTTP基本原理
- 计算机组成原理中wr是什么,计算机组成原理复习例题.doc
- 01背包+概率问题 计蒜客 offer
- mac下使用brew安装java等应用
- 专业网站设计的实施步骤及有关疑难问题汇编
- linux zen 补丁,Mageia 7.1 发布,修复AMD Zen 2支持
- 如何选择老版本 安装vs2019_VS2019及其他多个版本序列号和安装包
- 网站死链接检测工具 Xenu 汉化版
- lua在线手册 lua在线lua学习教程 lua参考手册中文翻译
- 计算机粘贴复制快捷键,电脑粘贴复制快捷键ctrl加什么(电脑快捷键方法大全)...
- Spark On Yarn --jars/spark.yarn.jars 踩坑 与 提升spark submit速度
- sqlmap之tamper脚本编写
- 收藏很久的资源整合网站,一个网站一个世界
- 5次史上最牛的黑客攻击、比电影还刺激
- python_考勤时间
- 游戏计算机性能要求吗,玩电脑大型游戏对于配置有什么要求
- 【AI算法】数据分析
- 字符数组与字符指针的区别