Nginx限流和黑名单配置


Posted in Servers onMay 20, 2022

1 背景介绍

为了防止一些抢票助手所发起的一些无用请求,我们可以使用 nginx 中的限流策略进行限流操作。
常见的限流算法:计数器、漏桶算法、令牌桶算法

Nginx限流和黑名单配置

从作用上来说,漏桶和令牌桶算法最明显的区别就是是否允许突发流量(burst)的处理,漏桶算法能够强行限制数据的实时传输(处理)速率,对突发流量不做额外处理;而令牌桶算法能够在限制数据的平均传输速率的同时允许某种程度的突发传输。

2 Nginx 的限流策略

Nginx 的限流主要是两种方式: 限制访问频率限制并发连接数
Nginx 按请求速率限速模块使用的是漏桶算法,即能够强行保证请求的实时处理速度不会超过设置的阈值。

Nginx 官方版本限制 IP 的连接和并发分别有两个模块:
1、limit_req_zone:用来限制单位时间内的请求数,即速率限制 , 采用的漏桶算法 “leaky bucket”。
2、limit_conn_zone:用来限制同一时间连接数,即并发限制。

2.1 limit_req_zone限制访问频率

使用语法:limit_req_zone key zone rate
key :定义限流对象,binary_remote_addr 是一种 key,表示基于 remote_addr(客户端 IP) 来做限流,binary_ 的目的是压缩内存占用量。
zone:定义共享内存区来存储访问信息, myRateLimit:10m 表示一个大小为 10M,名字为 myRateLimit 的内存区域。1M 能存储 16000 IP 地址的
访问信息,10M 可以存储 16W IP 地址访问信息。
rate: 用于设置最大访问速率,rate=10r/s 表示每秒最多处理 10 个请求。Nginx 实际上以毫秒为粒度来跟踪请求信息,因此 10r/s 实际上是限制:每 100 毫秒处理一个请求。这意味着,自上一个请求处理完后,若后续 100 毫秒内又有请求到达,将拒绝处理该请求。

举例:

http {
# 定义限流策略
limit_req_zone $binary_remote_addr zone=rateLimit:10m rate=1r/s ;
# 搜索服务的虚拟主机
server {
location / {
# 使用限流策略,burst=5,重点说明一下这个配置,burst 爆发的意思,这个配置的意思是设置一个大小为 5 的缓冲区(队列)当有大量请求(爆发)过来时,

# 超过了访问频次限制的请求可以先放到这个缓冲区内。nodelay,如果设置,超过访问频次而且缓冲区也满了的时候就会直接返回 503,如果没有设置,则所

# 有请求会等待排队。
limit_req zone=rateLimit burst=5 nodelay;
proxy_pass http://train-manager-search ;
   }
  }
}

频繁访问:

Nginx限流和黑名单配置

2.2 limit_conn_zone限制最大连接数

使用语法:limit_conn_zone key zone
key :定义限流对象,binary_remote_addr 是一种 key,表示基于 remote_addr(客户端 IP) 来做限流,binary_ 的目的是压缩内存占用量。
zone:定义共享内存区来存储访问信息, myRateLimit:10m 表示一个大小为 10M,名字为 myRateLimit 的内存区域。1M 能存储 16000 IP 地址的
访问信息,10M 可以存储 16W IP 地址访问信息。
举例:

http {
# 定义限流策略
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
# 搜索服务的虚拟主机
server {
location / {
# 对应的 key 是 $binary_remote_addr,表示限制单个 IP 同时最多能持有 1 个连接。
limit_conn perip 1;
# 对应的 key 是 $server_name,表示虚拟主机(server) 同时能处理并发连接的总数。注意,只有当 request header 被
后端 server 处理后,这个连接才进行计数。
limit_conn perserver 10 ;
proxy_pass http://train-manager-search ;
    }
  }
}

3 黑名单设置

有时候会有一些恶意IP攻击服务器,会基于程序频繁发起请求对服务器造成巨大压力,我们此时可以使用Nginx的黑名单功能实现黑名单过滤操作。我们首先需要配置黑名单IP,黑名单IP我们可以记录到一个配置文件中,比如配置到blockip.conf文件中:

配置固定IP为黑名单:

deny 192.168.100.1;

nginx.conf中引入blockip.conf,可以放到http, server, location语句块,配置如下:

#黑名单
include blockip.conf;

此时在192.168.100.1的IP上访问服务器,会报如下错误:

Nginx限流和黑名单配置

屏蔽ip的配置文件既可以屏蔽单个ip,也可以屏蔽ip段,或者只允许某个ip或者某个ip段访问。

# 屏蔽单个ip访问
deny IP;
# 允许单个ip访问
allow IP;
# 屏蔽所有ip访问
deny all;
# 允许所有ip访问
allow all;
#屏蔽整个段即从123.0.0.1到123.255.255.254访问的命令
deny 123.0.0.0/8
#屏蔽IP段即从123.45.0.1到123.45.255.254访问的命令
deny 124.45.0.0/16
#屏蔽IP段即从123.45.6.1到123.45.6.254访问的命令
deny 123.45.6.0/24
1234567891011121314

如果你想实现这样的应用,除了几个IP外,其他全部拒绝,那需要你在blockip.conf中这样写:

allow 192.168.100.1;
allow 192.168.100.2;
deny all;
123

但是这种手动配置的方式可能太过繁琐,我们也可以配置动态黑白名单。

配置动态黑白名单,我们可以采用Lua+Redis实现,将黑名单存入到Redis缓存,每次执行请求时,通过lua脚本先获取用户IP,匹配IP是否属于黑名单,如果是,则不让请求,如果不是,则放行。

到此这篇关于Nginx限流和黑名单配置的文章就介绍到这了!


Tags in this post...

Servers 相关文章推荐
本地通过nginx配置反向代理的全过程记录
Mar 31 Servers
nginx处理http请求实现过程解析
Mar 31 Servers
Nginx的反向代理实例详解
Mar 31 Servers
Nginx配置文件详解以及优化建议指南
Sep 15 Servers
Apache POI的基本使用详解
Nov 07 Servers
Nginx 反向代理解决跨域问题多种情况分析
Jan 18 Servers
Nginx的基本概念和原理
Mar 21 Servers
Vscode中SSH插件如何远程连接Linux
May 02 Servers
Apache Kafka 分区重分配的实现原理解析
Jul 15 Servers
windows系统搭建WEB服务器详细教程
Aug 05 Servers
码云(gitee)通过git自动同步到阿里云服务器
Dec 24 Servers
解决ubuntu安装软件时,status-code=409报错的问题
Dec 24 Servers
Nginx利用Logrotate实现日志分割
May 20 #Servers
nginx lua 操作 mysql
May 15 #Servers
Nginx HTTP跳转至HTTPS
Nginx 匹配方式
May 15 #Servers
nginx实现多geoserver服务的负载均衡
May 15 #Servers
Nginx 常用配置
鲲鹏 CentOS 7 安装Python3.7
May 11 #Servers
You might like
Php连接及读取和写入mysql数据库的常用代码
2014/08/11 PHP
PHP实现支持SSL连接的SMTP邮件发送类
2015/03/05 PHP
php通过会话控制实现身份验证实例
2016/10/18 PHP
PHP使用curl制作简易百度搜索
2016/11/03 PHP
filemanage功能中用到的lib.js
2007/04/08 Javascript
JS异常处理的一个想法(sofish)
2013/03/14 Javascript
Extjs4 关于Store的一些操作(加载/回调/添加)
2013/04/18 Javascript
jQuery针对各类元素操作基础教程
2014/08/29 Javascript
告诉你什么是javascript的回调函数
2014/09/04 Javascript
javascript 动态创建表格
2015/01/08 Javascript
浅谈利用JavaScript进行的DDoS攻击原理与防御
2015/06/04 Javascript
怎么通过onclick事件获取js函数返回值(代码少)
2015/07/28 Javascript
简单实现异步编程promise模式
2015/07/31 Javascript
浅析JS异步加载进度条
2016/05/05 Javascript
JavaScript对象数组排序实例方法浅析
2016/06/15 Javascript
jQuery实现的网页换肤效果示例
2016/09/20 Javascript
Javascript 数组去重的方法(四种)详解及实例代码
2016/11/24 Javascript
Bootstrap实现圆角、圆形头像和响应式图片
2016/12/14 Javascript
nodejs body-parser 解析post数据实例
2017/07/26 NodeJs
webpack引入eslint配置详解
2018/01/22 Javascript
async/await地狱该如何避免详解
2018/05/10 Javascript
详解Vue CLI3配置之filenameHashing使用和源码设计使用和源码设计
2018/08/31 Javascript
jQuery删除/清空指定元素的所有子节点实例代码
2019/07/04 jQuery
微信小程序加载机制及运行机制图解
2019/11/27 Javascript
python中文编码问题小结
2014/09/28 Python
Python实现在matplotlib中两个坐标轴之间画一条直线光标的方法
2015/05/20 Python
详解JavaScript编程中的window与window.screen对象
2015/10/26 Python
Python 多维List创建的问题小结
2019/01/18 Python
python使用phoenixdb操作hbase的方法示例
2019/02/28 Python
Tensorflow: 从checkpoint文件中读取tensor方式
2020/02/10 Python
Python urllib2运行过程原理解析
2020/06/04 Python
小学关爱留守儿童活动方案
2014/08/25 职场文书
小学生运动会报道稿
2014/09/12 职场文书
领导欢送会主持词
2015/07/06 职场文书
餐饮行业关注的9大营销策略
2019/08/26 职场文书
python使用matplotlib绘制图片时x轴的刻度处理
2021/08/30 Python