对HTTP资源访问限制
nginx限制范围,有可能是:
- 对指定键值(比如每个IP)的连接数;
- 对指定键值(比如每秒/分钟之间允许处理的请求数)的访问频率;
- 连接的下载速率。
一、连接数的限制
1、用 limit_conn_zone 指令定义某个键,并且共享内存区域参数(工作进程会使用该区域作为共享该键值数)。第1参数是一表达式作为键,第二参数zone,用于指定zone名称和它的大小。
limit_conn_zone $binary_remote_addr zone=addr:10m;
2、用 limit_conn 指令 在 location{},server{},或 http{} 上下文中使用连接限制,该指令的第一参数为上方定义的共享内存区域的名称,第二参数定义该键的允许连接数。
location /download/ { limit_conn addr 1; }
上例限制了每个IP地址的连接数,因为 $binary_remote_addr 变量作为键。
另一个常用的限制连接数是指定某个服务器 $server_name变量:
http { limit_conn_zone $server_name zone=servers:10m; server { limit_conn servers 1000; } }
二、限制访问频率
访问频率限制常用于DDOS攻击防范,或防止上游服务器群组同一时间处理过多的访问。该方法基于 leaky bucket 算法:请求以各种速率到达存储桶,并以固定速率离开存储桶。
使用频率限制前,需配置 limit_req_zone指令,有以下参数:
key键:该参数用于区分各客户端,通常用变量表示;
共享内存区:其名称和大小用于存储这些key键;
频率:请求访问频率限制设定,单位为每秒请求(r/s) 或者每分钟请求(r/m)。
limit_req_zone指令定义在http{}层级:
http { #... limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; }
通过以上配置,共享内存区域 one 拥有 10MB 大小。该区保存 $binary_remote_addr变量值 即客户端IP。
注意: $remote_addr 也是记录客户端IP地址,而$binary_remote_addr 保存客户端IP地址值的二进制位数,使用空间更小。
共享区域的大小可通过以下计算得出:$binary_remote_addr 的 IPV4地址值为4字节,在64位系统占用128字节。因此,大约16,000个IP地址的状态信息占用该区域的1MB大小。
如果NGINX需要添加新条目时存储空间已用尽,它将删除最旧的条目。如果释放的空间仍然不足以容纳新记录,则NGINX返回状态代码" 503 servcie Unavaliable"。状态码可以用 limit_req_status 指令重新定义。
区域设置好后,就可以用 limit_req 指令在 server{}、location{}或 http{} 上下文中设定好。
http { #... limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { #... location /search/ { limit_req zone=one; } } }
以上配置,nginx将不会处理多于每秒1个请求的 /search/位置访问。这些请求的处理以不超过指定的频率的方式延迟,如果请求数量超过指定的速率,NGINX将延迟处理此类请求,直到“存储桶”(共享存储区 one)已满。如果已满时仍有请求过来,则nginx回复 503 Service Unavailable 错误。
三、测试请求频率限制
在配置真实环境下的频率限制前,可以用 dry run 模式不限制请求处理,但会将过多请求的问题记录下来。dry run模式开启使用 limit_req_dry_run 指令:
location /search/ { limit_req zone=one; limit_req_dry_run on; }
日志中记录 dry_run标记:
2019/09/03 10:28:45 [error] 142#142: *13246 limiting requests, dry run, excess: 1.000 by zone "one", client: 172.19.0.1, server: www.example.com, request: "GET / HTTP/1.0", host: "www.example.com:80"
四、处理过多请求的选项
由于流量趋向于突发性,因此在流量突发期间响应客户端请求返回错误不是最好的情况。
NGINX对于过多请求可以被缓冲和处理。limit_req指令的burst参数设置等待以指定频率处理的过多请求的最大数量:
http { #... limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { #... location /search/ { limit_req zone=one burst=5; } } }
以上配置,如果请求超出每秒1个,则超出的请求放入one区。one区已满则过多的请求排入队列,队列大小5个。队列中的请求处理将请不超出设定的总速率。超出burst限制,将会返回503。
如果在流量突发期间不希望延迟请求,请添加nodelay参数:
location /search/ { limit_req zone=one burst=5 nodelay; }
另外,delay参数可以定义了延迟过多请求以符合定义的速率限制的时间点:
location /search/ { limit_req zone=one burst=5 delay=3; }
使用此配置时,前3个请求(延迟)将无延迟地传递,接下来的2个请求(突发-延迟)将以总速率不大于指定速率的方式延迟,进一步的请求将被拒绝,因为总突发大小已超过,往后的请求将被延迟。
五、限制带宽
限制每条连接的带宽使用,使用 limit_rate 指令:
location /download/ {
limit_rate 50k;
}
以上设置了访问 /download/的每个客户端在每个连接至多使用50K每秒的速率。不过,这里没有限制同一客户端同时开设多个连接。所以要做到下载速度不能超出指定值,那么同时也要限制连接数量:
location /download/ { limit_conn addr 1; limit_rate 50k; }
还可以限制客户端在下载一定数量的数据后才进行限制速度,请使用 limit_rate_after 指令。比如允许客户快速下载一定数量的数据(例如,文件标头-电影索引)后,开始限制下载其余数据的速率。
以下示例合并使用了连接数和带宽限制。每个客户端地址允许的最大连接数设置为5个连接,这适合大多数常见情况,因为现代浏览器通常一次最多打开3个连接。同时,提供下载的位置仅允许一个连接:
http { limit_conn_zone $binary_remote_address zone=addr:10m server { root /www/data; limit_conn addr 5; location / { } location /download/ { limit_conn addr 1; limit_rate_after 1m; limit_rate 50k; } } }
limit_rate 还可以设置 变量,进行动态控制带宽:
map $ssl_protocol $response_rate { "TLSv1.1" 10k; "TLSv1.2" 100k; "TLSv1.3" 1000k; } server { listen 443 ssl; ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; ssl_certificate www.example.com.crt; ssl_certificate_key www.example.com.key; location / { limit_rate $response_rate; # Limit bandwidth based on TLS version limit_rate_after 512; # Apply limit after headers have been sent proxy_pass http://my_backend; } }
限制对代理TCP资源的访问
一、限制IP地址
allow和deny指令能分开对指定的IP地址或地址段允许或禁止访问。这两指令设置在stream或server上下文中。
如果设置了一系列规则,则么匹配按顺序从头到尾,直到头一条匹配到为止。
stream { #... server { listen 12345; deny 192.168.1.2; allow 192.168.1.1/24; allow 2001:0db8::/32; deny all; } }
上例中按顺序,192.168.1.1/24为允许访问,并排除192.168.1.2。而2001:0db8::/32的IPV6地址则被允许,并排除其他所有IP地址。
二、限制TCP连接数
nginx能限制单一IP同时建立的TCP连接数,这对防止DoS攻击很有效。
首先,在 stream 上下文使用 limit_conn_zone 指令定义存储连接到一服务器的最大TCP连接数区域,和与其相关的键。
stream { #... limit_conn_zone $binary_remote_addr zone=ip_addr:10m; #... }
上例中,该键使用 $binary_remote_addr 变量定义。而共享存储区名为ip_addr,具有10MB大小。
区域定义好后,再使用 limit_conn 指令限制连接。该指令第一参数为 limit_conn_zone 定义的区域名称,第二参数指明允许的各IP地址最大连接数。该指令可在stream 或 server上下文中定义。
stream { #... limit_conn_zone $binary_remote_addr zone=ip_addr:10m; server { #... limit_conn ip_addr 1; } }
当限制每个IP地址的连接数时,请注意网络地址转换(NAT)设备后面的多个主机共享相同的IP地址。
三、限制带宽
要设置下载、上传的TCP连接速度,可以用 proxy_download_rate 或 proxy_upload_rate 指令:
server { #... proxy_download_rate 100k; proxy_upload_rate 50k; }
上例设置了单个TCP连接拥有100K下载速率,和50K上传速率。
如果需要限制每个客户端的速率,可以限制连接数为1:
stream { #... limit_conn_zone $binary_remote_addr zone=ip_addr:10m; server { #... limit_conn ip_addr 1; proxy_download_rate 100k; proxy_upload_rate 50k; } }
