nginx限制访问

A. 网站nginx配置限制单个IP访问频率，预防DDOS恶意攻击

对于网站来说，尤其是流量较大出名的网站，经常遇到攻击，如DDOS攻击等，虽然有些第三方，如Cloudflare可以挡，但对于动态网站PHP来说，只能挡一部分。这时候需要对于单个IP恶意攻击做出限流。nginx的两个模块可以限流。

nginx两个限流模块：

连接频率限制，ngx_http_limit_conn_mole：官方文档：https://nginx.org/en/docs/http/ngx_http_limit_conn_mole.html

请求频率限制，ngx_http_limit_req_mole：官方文档：https://nginx.org/en/docs/http/ngx_http_limit_req_mole.html

网上理论很多，根据名字可知：

当然还是看不懂的话，通俗点讲（相对于时间比较）：

比如秒杀，抢购，连接频率限制和请求频率限制应该配合使用 , 使用连接频率限制同一IP同时只能有3个连接, 再使用请求频率限制对于同一ip的请求，限制平均速率为5个请求/秒 , 这样比单独只使用一种限制要好很多。

比如只使用请求频率限制 , 可以精确地限制同一ip1秒只能发起5次的http请求 , 假如同一ip1秒内发起了100000次请求 , 虽然限制了只有5次成功响应 , 但是其他的99995次的请求TCP握手建立http连接是不是会消耗服务器资源? 所以还需要配合使用。

1、limit_req_zone，示例：

2、limit_conn_zone，示例：

3、搭配一起使用

1、ab命令

ab是apache自带的压力测试工具。一般不用额外安装，ab非常实用，它不仅可以对apache服务器进行网站访问压力测试，也可以对或其它类型的服务器进行压力测试。比如nginx、tomcat、IIS等。

测试命令

2、wrk命令

需自己安装，地址：https://github.com/wg/wrk

安装

测试命令：

还有其他压测工具，自行研究

B. nginx 限制ip请求某个url的频率

问题描述：
今天在统计nginx日志中，url访问频率的时候，发现一个接口访问次数远远大于其他的url。于是用tail -f查看实时日志，发现有个ip以每秒3-4次请求这个url。询问开发后，得知是第三方调用的，频率有点高，需要限制一下。

解决：
在nginx的http模块中添加以下配置

rate=1r/s 的意思是每个地址每秒只能请求一次

在server模块中添加一下配置

burst是指一共有5个令牌，发完后，只能根据rate的设定每秒新增一个

reload nginx的配置之后，再次查看日志。可以看到访问频率明显降下来了

C. Nginx中怎么限制某个IP同一时间段的访问次数

如何设置能限制某个IP某一时间段的访问次数是一个让人头疼的问题，特别面对恶意的ddos攻击的时候。其中CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。
cc攻击一般就是使用有限的ip数对服务器频繁发送数据来达到攻击的目的，nginx可以通过HttpLimitReqMol和HttpLimitZoneMole配置来限制ip在同一时间段的访问次数来防cc攻击。
HttpLimitReqMol用来限制连单位时间内连接数的模块，使用limit_req_zone和limit_req指令配合使用来达到限制。一旦并发连接超过指定数量，就会返回503错误。
HttpLimitConnMol用来限制单个ip的并发连接数，使用limit_zone和limit_conn指令
这两个模块的区别前一个是对一段时间内的连接数限制，后者是对同一时刻的连接数限制

文章目录
1 HttpLimitReqMol 限制某一段时间内同一ip访问数实例
2 HttpLimitZoneMole 限制并发连接数实例
3 nginx白名单设置
HttpLimitReqMol 限制某一段时间内同一ip访问数实例
http{
...

#定义一个名为allips的limit_req_zone用来存储session，大小是10M内存，
#以$binary_remote_addr 为key,限制平均每秒的请求为20个，
#1M能存储16000个状态，rete的值必须为整数，
#如果限制两秒钟一个请求，可以设置成30r/m

limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
...
server{
...
location {
...

#限制每ip每秒不超过20个请求，漏桶数burst为5
#brust的意思就是，如果第1秒、2,3,4秒请求为19个，
#第5秒的请求为25个是被允许的。
#但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。
#nodelay，如果不设置该选项，严格使用平均速率限制请求数，
#第1秒25个请求时，5个请求放到第2秒执行，
#设置nodelay，25个请求将在第1秒执行。

limit_req zone=allips burst=5 nodelay;
...
}
...
}
...
}

D. nginx负载均衡无法访问

可以访问。nginx负载均衡iphash是将server和server负载均衡访问方式分发到集群中的服务器上，以实现负载均衡功能的部署，负载均衡是随机分配和始终在这些节点上。