nginx 限流功能

最近老大布置任务，需要对网站进行限流，要求每个IP每秒只能访问1次。百度后，发现nginx的limit_req 命令基本可以满足我们的需求。

配置如下：

以上配置中使用的是nginx的ngx_http_limit_req_module模块，用来限制单个IP的请求数。

语法：limit_req_zonebinary_remote_addr zone=mylimit:10m rate=1r/s

说明：

1. $binary_remote_addr，表明是以remote_addr为限制目标，加上binary是为了压缩内存占用空间

2. zone=name:size，分配一个以name为名的并且大小为size的内存空间，用来存储访 问的频次信息

3. rate=rate， 如rate=1r/s表示同一个IP每秒只允许一个请求通过

语法：limit_req zone=name [burst=number] [nodelay | delay=number] #放在location区域内

实例：limit_req zone=mylimit burst=5 nodelay

说明：

1. zone=mylimit，对应http区域中配置的zone

2. burst=5，表示设置一个大小为5的缓冲区，超过频次限制的请求先放入这个缓冲区

3. nodelay，设置后超过频次限制以及缓冲区满了的情况下返回503状态码；如不设置，那么额外的请求将进入等待排队的状态

语法：limit_req_log_level info | notice | warn | error #可放入http, server, location区域

实例：limit_req_log_level error

说明：当超出限速及被缓存后，写入日志（对应相应的日志级别）

语法：limit_req_status code #可放入http, server, location区域

实例：limit_req_status 503

说明：自定义拒绝请求后返回的状态码

参考： http://nginx.org/en/docs/http/ngx_http_limit_req_module.html

https://www.cnblogs.com/biglittleant/p/8979915.html

nginx中ngx_http_limit_conn_module模块用于限制连接数量，特别是来自单个IP地址的连接数量。并非所有的连接都被计数。只有当服务器处理了请求并且已经读取了整个请求头时，连接才被计数。

$binary_remote_addr对于IPv4地址，变量的大小始终为4个字节，对于IPv6地址则为16个字节。存储状态在32位平台上始终占用32或64个字节，在64位平台上占用64个字节。一个兆字节的区域可以保持大约32000个32字节的状态或大约16000个64字节的状态。如果区域存储耗尽，服务器会将错误返回 给所有其他请求。10M可存储160000个状态

nginx中ngx_http_limit_req_module模块用于限制每一个请求的处理速率，特别是从一个单一的IP地址的请求的处理速率。

我们可以用ab工具测试一下。

并发数50，总共执行次数100

可以看出100个请求在3.3秒完成符合30r/s

参考文章

http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

http://nginx.org/en/docs/http/ngx_http_limit_req_module.html

如何设置能限制某个IP某一时间段的访问次数是一个让人头疼的问题，特别面对恶意的ddos攻击的时候。其中CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。 cc攻击一般就是使用有限的ip数对服务器频繁发送数据来达到攻击的目的，nginx可以通过HttpLimitReqModul和HttpLimitZoneModule配置来限制ip在同一时间段的访问次数来防cc攻击。 HttpLimitReqModul用来限制连单位时间内连接数的模块，使用limit_req_zone和limit_req指令配合使用来达到限制。一旦并发连接超过指定数量，就会返回503错误。 HttpLimitConnModul用来限制单个ip的并发连接数，使用limit_zone和limit_conn指令 这两个模块的区别前一个是对一段时间内的连接数限制，后者是对同一时刻的连接数限制 文章目录 1 HttpLimitReqModul 限制某一段时间内同一ip访问数实例 2 HttpLimitZoneModule 限制并发连接数实例 3 nginx白名单设置 HttpLimitReqModul 限制某一段时间内同一ip访问数实例 http{ ... #定义一个名为allips的limit_req_zone用来存储session，大小是10M内存， #以$binary_remote_addr 为key,限制平均每秒的请求为20个， #1M能存储16000个状态，rete的值必须为整数， #如果限制两秒钟一个请求，可以设置成30r/m limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s... server{ ... location { ... #限制每ip每秒不超过20个请求，漏桶数burst为5 #brust的意思就是，如果第1秒、2,3,4秒请求为19个， #第5秒的请求为25个是被允许的。 #但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。 #nodelay，如果不设置该选项，严格使用平均速率限制请求数， #第1秒25个请求时，5个请求放到第2秒执行， #设置nodelay，25个请求将在第1秒执行。 limit_req zone=allips burst=5 nodelay... } ... } ... }

---