nginx防止DDOS攻击配置

防止DDoS攻击是一项综合性的任务，涉及到网络层面、系统层面以及应用程序层面的防御措施。对于基于Nginx的Web服务器，以下是一些基本的配置方法来减轻DDoS攻击的影响：

1. 使用 ngx_http_limit_req_module 模块限制请求速率：

http {    # 定义一个限流区    limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s; # 每秒最多10个请求    server {        location / {            # 应用限流            limit_req zone=req_limit burst=5 nodelay; # 允许突发5个请求，超过则延时处理        }    }}

上述配置创建了一个名为 req_limit 的区域，它跟踪每个客户端IP地址的请求速率，并且限制每个IP每秒不超过10个请求。 burst 参数允许在速率限制的基础上有一个突发缓冲， nodelay 表示即使超过了平均速率也暂时不立即返回503错误。

2. 使用 ngx_http_limit_conn_module 模块限制并发连接数：

http {    # 定义一个连接数限制区    limit_conn_zone $binary_remote_addr zone=conn_limit:10m; # 分配10MB内存空间用于存储连接状态    server {        location / {            # 设置每个IP最大并发连接数            limit_conn conn_limit 10; # 每个IP最多同时保持10个连接        }    }}

这个模块限制了同一IP地址的同时连接数。

3. IP黑名单和白名单：

使用 ngx_http_access_module 模块设置IP黑名单或白名单：

server {    location / {        allow <your_trusted_ip>; # 允许特定IP或IP段访问        deny all; # 默认拒绝所有其他IP    }}

或者在更高层级设置全局的黑白名单。

4. 使用Geo模块结合Map模块实现更灵活的控制：

geo $trusted {    default no;    include /etc/nginx/trusted_ips.lst; # 包含信任IP列表}map $remote_addr $limit {    default yes;    $trusted no; # 如果IP在信任列表，则不限制}server {    location / {        if ($limit = yes) {            # 对非信任IP应用限速或连接数限制            limit_req ...;            limit_conn ...;        }    }}

5. 合理配置超时参数：

确保Nginx的超时参数合理，以避免攻击者长时间占用连接资源。

6. 结合负载均衡器与防火墙：

在Nginx前面部署负载均衡器（如LVS、HAProxy），并利用防火墙（如iptables）进一步过滤异常流量。

7. CDN与云防护服务：

将静态资源托管至CDN，可分散流量并缓解带宽攻击。考虑接入专门的DDoS防护服务，如Cloudflare、阿里云盾等，它们能够提供专业的流量清洗服务。

8. 监控与自动化响应：

建立实时监控机制，当检测到异常流量时，能够快速调整Nginx配置或通知防护服务做出响应。

请注意，以上配置只是基础措施，面对大规模复杂的DDoS攻击，可能还需要更深层次的网络和系统优化以及运维策略。此外，定期更新软件、修复漏洞也是提升安全性的重要环节。