Nginx防止DDOS攻击配置

防止DDoS攻击是一项综合性的任务，涉及到网络层面、系统层面以及应用程序层面的防御措施。对于基于Nginx的Web服务器，以下是一些基本的配置方法来减轻DDoS攻击的影响：

1. 使用

ngx_http_limit_req_module

模块限制请求速率：

http {
    # 定义一个限流区
    limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s; # 每秒最多10个请求

    server {
        location / {
            # 应用限流
            limit_req zone=req_limit burst=5 nodelay; # 允许突发5个请求，超过则延时处理
        }
    }
}

上述配置创建了一个名为

req_limit

的区域，它跟踪每个客户端IP地址的请求速率，并且限制每个IP每秒不超过10个请求。

burst

参数允许在速率限制的基础上有一个突发缓冲，

nodelay

表示即使超过了平均速率也暂时不立即返回503错误。

2. 使用

ngx_http_limit_conn_module

模块限制并发连接数：

http {
    # 定义一个连接数限制区
    limit_conn_zone $binary_remote_addr zone=conn_limit:10m; # 分配10MB内存空间用于存储连接状态

    server {
        location / {
            # 设置每个IP最大并发连接数
            limit_conn conn_limit 10; # 每个IP最多同时保持10个连接
        }
    }
}

这个模块限制了同一IP地址的同时连接数。

3. IP黑名单和白名单：

使用

ngx_http_access_module

模块设置IP黑名单或白名单：

server {
    location / {
        allow <your_trusted_ip>; # 允许特定IP或IP段访问
        deny all; # 默认拒绝所有其他IP
    }
}

或者在更高层级设置全局的黑白名单。

4. 使用Geo模块结合Map模块实现更灵活的控制：

geo $trusted {
    default no;
    include /etc/nginx/trusted_ips.lst; # 包含信任IP列表
}

map $remote_addr $limit {
    default yes;
    $trusted no; # 如果IP在信任列表，则不限制
}

server {
    location / {
        if ($limit = yes) {
            # 对非信任IP应用限速或连接数限制
            limit_req ...;
            limit_conn ...;
        }
    }
}

5. 合理配置超时参数：

确保Nginx的超时参数合理，以避免攻击者长时间占用连接资源。

6. 结合负载均衡器与防火墙：

在Nginx前面部署负载均衡器（如LVS、HAProxy），并利用防火墙（如iptables）进一步过滤异常流量。

7. CDN与云防护服务：

将静态资源托管至CDN，可分散流量并缓解带宽攻击。考虑接入专门的DDoS防护服务，如Cloudflare、阿里云盾等，它们能够提供专业的流量清洗服务。

8. 监控与自动化响应：

建立实时监控机制，当检测到异常流量时，能够快速调整Nginx配置或通知防护服务做出响应。

请注意，以上配置只是基础措施，面对大规模复杂的DDoS攻击，可能还需要更深层次的网络和系统优化以及运维策略。此外，定期更新软件、修复漏洞也是提升安全性的重要环节。