网站nginx配置限制单个IP访问频率，预防DDOS恶意攻击

对于网站来说，尤其是流量较大出名的网站，经常遇到攻击，如DDOS攻击等，虽然有些第三方，如Cloudflare可以挡，但对于动态网站PHP来说，只能挡一部分。这时候需要对于单个IP恶意攻击做出限流。nginx的两个模块可以限流。

nginx两个限流模块：

连接频率限制，ngx_http_limit_conn_module：官方文档：https://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

请求频率限制，ngx_http_limit_req_module：官方文档：https://nginx.org/en/docs/http/ngx_http_limit_req_module.html

网上理论很多，根据名字可知：

当然还是看不懂的话，通俗点讲（相对于时间比较）：

比如秒杀，抢购，连接频率限制和请求频率限制应该配合使用 , 使用连接频率限制同一IP同时只能有3个连接, 再使用请求频率限制对于同一ip的请求，限制平均速率为5个请求/秒 , 这样比单独只使用一种限制要好很多。

比如只使用请求频率限制 , 可以精确地限制同一ip1秒只能发起5次的http请求 , 假如同一ip1秒内发起了100000次请求 , 虽然限制了只有5次成功响应 , 但是其他的99995次的请求TCP握手建立http连接是不是会消耗服务器资源? 所以还需要配合使用。

1、limit_req_zone，示例：

2、limit_conn_zone，示例：

3、搭配一起使用

1、ab命令

ab是apache自带的压力测试工具。一般不用额外安装，ab非常实用，它不仅可以对apache服务器进行网站访问压力测试，也可以对或其它类型的服务器进行压力测试。比如nginx、tomcat、IIS等。

测试命令

2、wrk命令

需自己安装，地址：https://github.com/wg/wrk

安装

测试命令：

还有其他压测工具，自行研究

nginx中针对目录进行IP限制 ，这里以phpmyadmin目录只能让内网IP访问，而外网不能访问的配置方法。

nginx phpmyadmin 针对内网ip用户开放、外网ip用户关闭（在前面的配置中，location ~ ^/目录/使用正则， 优先级高于location /的配置，所以nginx无法对首页进行解析）

代码如下：

server {

  listen       80

  server_name example.com

  access_log logs/access.log main

  location / {

      root   html

      index index.php index.html index.htm

  }

location ~ ^/phpmyadmin/ {

      allow 192.168.1.0/24

      deny all

      location ~ .*.(php|php5)?$ {

          root /var/mailapp/nginx/html

          fastcgi_pass   127.0.0.1:9000

          fastcgi_index index.php

          include        fastcgi_params

      }

  }

location ~ .*.(php|php5)?$ {

      root /opt/nginx/html

      fastcgi_pass   127.0.0.1:9000

      fastcgi_index index.php

      include        fastcgi_params

   }

}

---