如何設定能限制某個IP某一時間段的訪問次數是一個讓人頭疼的問題，特別面對惡意的ddos攻擊的時候。其中CC攻擊（Challenge Collapsar）是DDOS（分散式拒絕服務）的一種，也是一種常見的網站攻擊方法，攻擊者通過代理伺服器或者肉雞向向受害主機不停地發大量資料包，造成對方伺服器資源耗盡，一直到宕機崩潰。cc攻擊一般就是使用有限的ip數對伺服器頻繁傳送資料來達到攻擊的目的，nginx可以通過HttpLimitReqModul和HttpLimitZoneModule配置來限制ip在同一時間段的訪問次數來防cc攻擊。HttpLimitReqModul用來限制連單位時間內連線數的模組，使用limit_req_zone和limit_req指令配合使用來達到限制。一旦併發連線超過指定數量，就會返回503錯誤。HttpLimitConnModul用來限制單個ip的併發連線數，使用limit_zone和limit_conn指令這兩個模組的區別前一個是對一段時間內的連線數限制，後者是對同一時刻的連線數限制。

HttpLimitReqModul 限制某一段時間內同一ip訪問數例項

http{
    ...

    #定義一個名為allips的limit_req_zone用來儲存session，大小是10M記憶體，
    #以$binary_remote_addr 為key,限制平均每秒的請求為20個，
    #1M能儲存16000個狀態，rete的值必須為整數，
    #如果限制兩秒鐘一個請求，可以設定成30r/m

    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    ...
    server{
        ...
        location {
            ...

            #限制每ip每秒不超過20個請求，漏桶數burst為5
            #brust的意思就是，如果第1秒、2,3,4秒請求為19個，
            #第5秒的請求為25個是被允許的。
            #但是如果你第1秒就25個請求，第2秒超過20的請求返回503錯誤。
            #nodelay，如果不設定該選項，嚴格使用平均速率限制請求數，
            #第1秒25個請求時，5個請求放到第2秒執行，
            #設定nodelay，25個請求將在第1秒執行。

            limit_req zone=allips burst=5 nodelay;
            ...
        }
        ...
    }
    ...
}
 

HttpLimitZoneModule 限制併發連線數例項

limit_zone只能定義在http作用域，limit_conn可以定義在http server location作用域

http{
    ...

    #定義一個名為one的limit_zone,大小10M記憶體來儲存session，
    #以$binary_remote_addr 為key
    #nginx 1.18以後用limit_conn_zone替換了limit_conn
    #且只能放在http作用域
    limit_conn_zone   one  $binary_remote_addr  10m;  
    ...
    server{
        ...
        location {
            ...
           limit_conn one 20;          #連線數限制

           #頻寬限制,對單個連線限數，如果一個ip兩個連線，就是500x2k
           limit_rate 500k;            

            ...
        }
        ...
    }
    ...
}
 

nginx白名單設定

以上配置會對所有的ip都進行限制，有些時候我們不希望對搜尋引擎的蜘蛛或者自己測試ip進行限制，
對於特定的白名單ip我們可以藉助geo指令實現。
1.

http{
     geo $limited{
        default 1;
        #google 
        64.233.160.0/19 0;
        65.52.0.0/14 0;
        66.102.0.0/20 0;
        66.249.64.0/19 0;
        72.14.192.0/18 0;
        74.125.0.0/16 0;
        209.85.128.0/17 0;
        216.239.32.0/19 0;
        #M$
        64.4.0.0/18 0;
        157.60.0.0/16 0;
        157.54.0.0/15 0;
        157.56.0.0/14 0;
        207.46.0.0/16 0;
        207.68.192.0/20 0;
        207.68.128.0/18 0;
        #yahoo
        8.12.144.0/24 0;
        66.196.64.0/18 0;
        66.228.160.0/19 0;
        67.195.0.0/16 0;
        74.6.0.0/16 0;
        68.142.192.0/18 0;
        72.30.0.0/16 0;
        209.191.64.0/18 0;
        #My IPs
        127.0.0.1/32 0;
        123.456.0.0/28 0; #example for your server CIDR
    }

geo指令定義了一個白名單$limited變數，預設值為1，如果客戶端ip在上面的範圍內，$limited的值為0

2.使用map指令對映搜尋引擎客戶端的ip為空串，如果不是搜尋引擎就顯示本身真是的ip，這樣搜尋引擎ip就不能存到limit_req_zone記憶體session中，所以不會限制搜尋引擎的ip訪問

map $limited $limit {
1 $binary_remote_addr;
0 "";
}

3.設定limit_req_zone和limit_req
limit_req_zone $limit zone=foo:1m rate=10r/m;

limit_req zone=foo burst=5;

最後我們使用ab壓php-fpm的方式，對上面的方法效果實際測試下

例1：限制只允許一分鐘內只允許一個ip訪問60次配置，也就是平均每秒1次
首先我們準備一個php指令碼放在根目錄下$document_root
test.php

nginx配置增加limit_req_zone 和 limit_req

http{
    ...
    limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
    ...
    server{
        ...
        location {
            ...
            limit_req zone=allips;
            ...
        }
        ...
    }
    ...
}

ab -n 5 -c 1 http://www.weizhang.org/test.php

118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:06 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:06:27:07 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"

未設定brust和nodelay可以看到該配置只允許每秒訪問1次，超出的請求返回503錯誤

http{
    ...
    limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
    ...
    server{
        ...
        location {
            ...
            limit_req zone=allips burst=1 nodelay;
            ...
        }
        ...
    }
    ...
}

ab -n 5 -c 1 http://www.weizhang.org/test.php

118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:00 +0000] "GET /test.php HTTP/1.0" 200 11000 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"
118.144.94.193 - - [22/Dec/2012:07:01:01 +0000] "GET /test.php HTTP/1.0" 503 537 "-" "ApacheBench/2.3"

設定brust=1和nodelay後允許第1秒處理兩個請求。

http://www.cnblogs.com/aoniboy/p/4730354.html