防恶意(预防DDOS恶意攻击)

大家好，感谢邀请，今天来为大家分享一下防恶意的问题，以及和预防DDOS恶意攻击的一些困惑，大家要是还不太明白的话，也没有关系，因为接下来将为大家分享，希望可以帮助到大家，解决大家的问题，下面就开始吧！

#ab命令#安装ab#Centos系统#yuminstallhttpd-tools-y#ab命令的参数-n//在测试会话中所执行的请求个数。默认为1-c//一次产生的请求个数。默认为1-t//测试所进行的最大秒数。默认值为50000-p//包含了需要的POST的数据文件-T//POST数据所使用的Content-type头信息#实例ab-c1000-n5000http://www.baidu.com/每次发送1000并发的请求数，请求数总数为5000。

对于网站来说，尤其是流量较大出名的网站，经常遇到攻击，如DDoS攻击等，虽然有些第三方，如Cloudflare可以挡，但对于动态网站php来说，只能挡一部分。这时候需要对于单个IP恶意攻击做出限流。Nginx的两个模块可以限流。

连接频率限制，ngx_http_limit_conn_module：官方文档：https://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

请求频率限制，ngx_http_limit_req_module：官方文档：https://nginx.org/en/docs/http/ngx_http_limit_req_module.html

首先理解请求和连接，HTTP请求建立在一次TCP连接基础上，一次TCP连接至少产生一次HTTP请求（1次或多次）

·connection是连接，即常说的tcp连接，通过三次握手而建立的一个完整状态机。建立一个连接，必须要三次握手。

·request是指请求，即http请求,tcp连接是有状态的，而构建在tcp之上的http却是无状态的协议。

当然还是看不懂的话，通俗点讲（相对于时间比较）：

·limit_req_zone，在有限的时间内限制，单个IP每秒或者每分钟只能发出多少请求。多的一概不理会。

·limit_conn_zone，不限时间，只允许单个IP这么多个连接，或者称为并发。如：设置10个连接，第11个连接时，必须等前面有一个已经完成或者释放后，这个连接才能允许。

比如秒杀，抢购，连接频率限制和请求频率限制应该配合使用,使用连接频率限制同一IP同时只能有3个连接,再使用请求频率限制对于同一ip的请求，限制平均速率为5个请求/秒,这样比单独只使用一种限制要好很多。

比如只使用请求频率限制,可以精确地限制同一ip1秒只能发起5次的http请求,假如同一ip1秒内发起了100000次请求,虽然限制了只有5次成功响应,但是其他的99995次的请求TCP握手建立http连接是不是会消耗服务器资源?所以还需要配合使用。

1、limit_req_zone，示例：

limit_req_zone$binary_remote_addrzone=allips:10mrate=20r/s;

#定义一个名为allips的limit_req_zone用来存储session，大小是10M内存，

#以$binary_remote_addr为key,限制平均每秒的请求为20个，

#1M能存储16000个状态，rete的值必须为整数，

#如果限制两秒钟一个请求，可以设置成30r/m

#限制每ip每秒不超过20个请求，漏桶数burst为5

#brust的意思就是，如果第1秒、2,3,4秒请求为19个，

#第5秒的请求为25个是被允许的。

#但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。

#nodelay，如果不设置该选项，严格使用平均速率限制请求数，

#第1秒25个请求时，5个请求放到第2秒执行，

#设置nodelay，25个请求将在第1秒执行。

limit_reqzone=allipsburst=5nodelay;

2、limit_conn_zone，示例：

limit_conn_zone$binary_remote_addrzone=addr：10m;

#定义一个名为addr的limit_req_zone用来存储session，大小是10M内存，

#nginx1.18以后用limit_conn_zone替换了limit_conn,

limit_connaddr10;#连接数限制，并发数

#设置给定键值的共享内存区域和允许的最大连接数。超出此限制时，服务器将返回503（服务临时不可用）错误.

#如果区域存储空间不足，服务器将返回503（服务临时不可用）错误

3、搭配一起使用

limit_req_zone$binary_remote_addrzone=req_zone:1mrate=20r/s;

#限制连接请求设置，访问内存10M,所有访问ip限制每秒10个请求

limit_conn_zone$binary_remote_addrzone=addr:10m;

limit_reqzone=req_zoneburst=5nodelay;

关于防恶意的内容到此结束，希望对大家有所帮助。