php限制ip访问次数 并发_[转]nginx限制某个IP同一时间段的访问次数
如何設(shè)置能限制某個(gè)IP某一時(shí)間段的訪問(wèn)次數(shù)是一個(gè)讓人頭疼的問(wèn)題,特別面對(duì)惡意的ddos攻擊的時(shí)候。其中CC攻擊(Challenge Collapsar)是DDOS(分布式拒絕服務(wù))的一種,也是一種常見(jiàn)的網(wǎng)站攻擊方法,攻擊者通過(guò)代理服務(wù)器或者肉雞向向受害主機(jī)不停地發(fā)大量數(shù)據(jù)包,造成對(duì)方服務(wù)器資源耗盡,一直到宕機(jī)崩潰。
cc攻擊一般就是使用有限的ip數(shù)對(duì)服務(wù)器頻繁發(fā)送數(shù)據(jù)來(lái)達(dá)到攻擊的目的,nginx可以通過(guò)HttpLimitReqModul和HttpLimitZoneModule配置來(lái)限制ip在同一時(shí)間段的訪問(wèn)次數(shù)來(lái)防cc攻擊。
HttpLimitReqModul用來(lái)限制連單位時(shí)間內(nèi)連接數(shù)的模塊,使用limit_req_zone和limit_req指令配合使用來(lái)達(dá)到限制。一旦并發(fā)連接超過(guò)指定數(shù)量,就會(huì)返回503錯(cuò)誤。
HttpLimitConnModul用來(lái)限制單個(gè)ip的并發(fā)連接數(shù),使用limit_zone和limit_conn指令
這兩個(gè)模塊的區(qū)別前一個(gè)是對(duì)一段時(shí)間內(nèi)的連接數(shù)限制,后者是對(duì)同一時(shí)刻的連接數(shù)限制
HttpLimitReqModul 限制某一段時(shí)間內(nèi)同一ip訪問(wèn)數(shù)實(shí)例
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
http{
...
#定義一個(gè)名為allips的limit_req_zone用來(lái)存儲(chǔ)session,大小是10M內(nèi)存,
#以$binary_remote_addr 為key,限制平均每秒的請(qǐng)求為20個(gè),
#1M能存儲(chǔ)16000個(gè)狀態(tài),rete的值必須為整數(shù),
#如果限制兩秒鐘一個(gè)請(qǐng)求,可以設(shè)置成30r/m
limit_req_zone$binary_remote_addr zone=allips:10mrate=20r/s;
...
server{
...
location{
...
#限制每ip每秒不超過(guò)20個(gè)請(qǐng)求,漏桶數(shù)burst為5
#brust的意思就是,如果第1秒、2,3,4秒請(qǐng)求為19個(gè),
#第5秒的請(qǐng)求為25個(gè)是被允許的。
#但是如果你第1秒就25個(gè)請(qǐng)求,第2秒超過(guò)20的請(qǐng)求返回503錯(cuò)誤。
#nodelay,如果不設(shè)置該選項(xiàng),嚴(yán)格使用平均速率限制請(qǐng)求數(shù),
#第1秒25個(gè)請(qǐng)求時(shí),5個(gè)請(qǐng)求放到第2秒執(zhí)行,
#設(shè)置nodelay,25個(gè)請(qǐng)求將在第1秒執(zhí)行。
limit_req zone=allips burst=5nodelay;
...
}
...
}
...
}
HttpLimitZoneModule 限制并發(fā)連接數(shù)實(shí)例
limit_zone只能定義在http作用域,limit_conn可以定義在http server location作用域
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
http{
...
#定義一個(gè)名為one的limit_zone,大小10M內(nèi)存來(lái)存儲(chǔ)session,
#以$binary_remote_addr 為key
#nginx 1.18以后用limit_conn_zone替換了limit_conn
#且只能放在http作用域
limit_conn_zone??one?$binary_remote_addr?10m;
...
server{
...
location{
...
limit_conn one20;?????????#連接數(shù)限制
#帶寬限制,對(duì)單個(gè)連接限數(shù),如果一個(gè)ip兩個(gè)連接,就是500x2k
limit_rate500k;
...
}
...
}
...
}
nginx白名單設(shè)置
以上配置會(huì)對(duì)所有的ip都進(jìn)行限制,有些時(shí)候我們不希望對(duì)搜索引擎的蜘蛛或者自己測(cè)試ip進(jìn)行限制,
對(duì)于特定的白名單ip我們可以借助geo指令實(shí)現(xiàn)。
1.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
http{
geo$limited{
default1;
64.233.160.0/190;
65.52.0.0/140;
66.102.0.0/200;
66.249.64.0/190;
72.14.192.0/180;
74.125.0.0/160;
209.85.128.0/170;
216.239.32.0/190;
#M$
64.4.0.0/180;
157.60.0.0/160;
157.54.0.0/150;
157.56.0.0/140;
207.46.0.0/160;
207.68.192.0/200;
207.68.128.0/180;
#yahoo
8.12.144.0/240;
66.196.64.0/180;
66.228.160.0/190;
67.195.0.0/160;
74.6.0.0/160;
68.142.192.0/180;
72.30.0.0/160;
209.191.64.0/180;
#My IPs
127.0.0.1/320;
123.456.0.0/280;#example for your server CIDR
}
geo指令定義了一個(gè)白名單$limited變量,默認(rèn)值為1,如果客戶端ip在上面的范圍內(nèi),$limited的值為0
2.使用map指令映射搜索引擎客戶端的ip為空串,如果不是搜索引擎就顯示本身真是的ip,這樣搜索引擎ip就不能存到limit_req_zone內(nèi)存session中,所以不會(huì)限制搜索引擎的ip訪問(wèn)
map $limited $limit {
1 $binary_remote_addr;
0 "";
}
3.設(shè)置limit_req_zone和limit_req
limit_req_zone $limit zone=foo:1m rate=10r/m;
limit_req zone=foo burst=5;
最后我們使用ab壓php-fpm的方式,對(duì)上面的方法效果實(shí)際測(cè)試下
例1:限制只允許一分鐘內(nèi)只允許一個(gè)ip訪問(wèn)60次配置,也就是平均每秒1次
首先我們準(zhǔn)備一個(gè)php腳本放在根目錄下$document_root
test.php
nginx配置增加limit_req_zone?和?limit_req
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
http{
...
limit_req_zone$binary_remote_addr zone=allips:10mrate=60r/m;
...
server{
...
location{
...
limit_req zone=allips;
...
}
...
}
...
}
ab -n 5 -c 1 http://www.weizhang.org/test.php
118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
未設(shè)置brust和nodelay可以看到該配置只允許每秒訪問(wèn)1次,超出的請(qǐng)求返回503錯(cuò)誤
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
http{
...
limit_req_zone$binary_remote_addr zone=allips:10mrate=60r/m;
...
server{
...
location{
...
limit_req zone=allips burst=1nodelay;
...
}
...
}
...
}
ab -n 5 -c 1 http://www.weizhang.org/test.php
118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
設(shè)置brust=1和nodelay后允許第1秒處理兩個(gè)請(qǐng)求。
轉(zhuǎn)自:http://www.nginx.cn/446.html
總結(jié)
以上是生活随笔為你收集整理的php限制ip访问次数 并发_[转]nginx限制某个IP同一时间段的访问次数的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: js怎么定义combobox_好程序员w
- 下一篇: angular点击按钮弹出页面_Axur