详解如何使用Nginx来查看高频访问IP并封禁IP

2023-11-12 0 511

正文：

如何设置能限制某个 IP 某一时间段的访问次数是一个让人头疼的问题，特别面对恶意的 DDoS 攻击的时候。其中CC 攻击（Challenge Collapsar）是 DDoS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。

为了防止 CC 攻击，可以使用Nginx的 HttpLimitReqModule 和 HttpLimitZoneModule 来限制 IP 在同一时间段的访问次数。

HttpLimitReqModule 是一个用来限制单位时间内连接数的模块，可以通过配置 limit_req_zone 和 limit_req 指令来实现限制。当并发连接超过指定数量时，服务器会返回 503 错误。

HttpLimitConnModule 则是用来限制单个 IP 的并发连接数，可以通过配置 limit_zone 和 limit_conn 指令来实现限制。

这两个模块的区别在于，HttpLimitReqModule 是对一段时间内的连接数进行限制，而 HttpLimitConnModule 是对同一时刻的连接数进行限制。

下面是一个使用 HttpLimitReqModule 限制某一段时间内同一 IP 访问次数的实例：

 http{
  ...
  #定义一个名为 allips 的 limit_req_zone 用来存储 session，大小是 10M 内存，
  #以$binary_remote_addr 为 key,限制平均每秒的请求为 20 个，
  #1M 能存储 16000 个状态，rete 的值必须为整数，
  #如果限制两秒钟一个请求，可以设置成 30r/m
  limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
  ...
  server{
    ...
    location {
      ...
      #限制每 ip 每秒不超过 20 个请求，漏桶数 burst 为 5
      #brust 的意思就是，如果第 1 秒、2,3,4 秒请求为 19 个，
      #第 5 秒的请求为 25 个是被允许的。
      #但是如果你第 1 秒就 25 个请求，第 2 秒超过 20 的请求返回 503 错误。
      #nodelay，如果不设置该选项，严格使用平均速率限制请求数，
      #第 1 秒 25 个请求时，5 个请求放到第 2 秒执行，
      #设置 nodelay，25 个请求将在第 1 秒执行。
      limit_req zone=allips burst=5 nodelay;
      ...
    }
    ...
  }
  ...
}

HttpLimitZoneModule 是一个用于限制并发连接数的模块实例

limit_zone 只能在 http 作用域中定义，而 limit_conn 可以在 http、server 和 location 作用域中定义。

 http{
  ...
  #定义一个名为 one 的 limit_zone,大小 10M 内存来存储 session，
  #以$binary_remote_addr 为 key
  #nginx 1.18 以后用 limit_conn_zone 替换了 limit_conn
  #且只能放在 http 作用域
  limit_conn_zone  one $binary_remote_addr 10m;
  ...
  server{
    ...
    location {
      ...
      limit_conn one 20;     #连接数限制
      #带宽限制,对单个连接限数，如果一个 ip 两个连接，就是 500x2k
      limit_rate 500k;     
      ...
    }
    ...
  }
  ...
}

服务器全局限 IP

  #vi nginx.conf
  allow 10.57.22.172;
  deny all;

指定目录的 IP 访问限制

在 nginx 的配置文件中，可以使用正则表达式来限制指定目录的 IP 访问。具体实现如下：

 ```
server {
    listen 80;
    server_name xxx.com;

    location /test1/ {
        allow 192.168.1.101;
        deny all;
    }

    location /test2/ {
        allow 192.168.1.101;
        deny all;
    }

    location / {
        # 其他目录的 php 程序，所有 ip 地址均可以访问
        # 这里可以根据实际需求进行配置
    }
}
```

注意事项：

1. 注意事项一：一定要在 deny 指令中加入一个 IP 地址，否则会直接跳转到 403 页面，不再执行后续操作。如果 403 页面是同一域名下的默认页，会导致无限循环访问。
2. 注意事项二：允许访问的 IP 段需要按照从小到大的顺序排列。例如，只有在 127.0.0.0/24 之后才能是 10.10.0.0/16。其中，24 表示子网掩码为 255.255.255.0，16 表示子网掩码为 255.255.0.0，8 表示子网掩码为 255.0.0.0。
3. 注意事项三：在配置文件的结尾处添加 deny all 指令，表示除了上述允许访问的 IP 段之外，其他所有 IP 都被禁止访问。

如

deny 192.168.1.1; allow 127.0.0.0/24; allo w 192.168.0.0/16; allow 10.10.0.0/16; deny all;

转载请注明：汇站网 » 详解如何使用 Nginx 来查看高频访问 IP 并封禁 IP

赏

微信扫一扫

支付宝扫一扫

免责声明

本资源仅用于个人学习和研究使用，禁止用于任何商业环境！

1.  本网站名称：汇站网
2.  本站永久网址：https://www.huizhanii.com/
3.  本站所有资源来源于网友投稿和高价购买，所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习，本站不提供任何技术服务！
4.  本站所有资源的展示图片和信息不代表本站的立场！本站只是储蓄平台及搬运
5.  下载者禁止在服务器和虚拟机下进行搭建运营，本站所有资源不支持联网运行！只允许调试，参考和研究！！！！
6.  未经原版权作者许可,禁止用于任何商业环境，任何人不得擅作它用，下载者不得用于违反国家法律，否则发生的一切法律后果自行承担！
7.  为尊重作者版权，请在下载24小时内删除！请购买原版授权作品，支持你喜欢的作者，谢谢！
8.  若资源侵犯了您的合法权益，请持您的版权证书和相关原作品信息来信通知我们请来信     我们会及时删除，给您带来的不便，我们深表歉意！
9.  如下载链接失效、广告或者压缩包问题请联系站长处理！
10.  如果你也有好源码或者教程，可以发布到网站，分享有金币奖励和额外收入！
11.  本站资源售价只是赞助，收取费用仅维持本站的日常运营所需！
12.  因源码具有可复制性，一经赞助，不得以任何形式退款。
13.  更多详情请点击查看

汇站网 Linux 详解如何使用Nginx来查看高频访问IP并封禁IP https://www.huizhanii.com/33747.html