小白站長被ddos最終用nginx限速防護(hù)的的慘痛經(jīng)歷
...
http {
...
# 添加IP白名單
geo $limit {
default 1;
192.168.0.0/24 0;
10.0.0.0/8 0;
127.0.0.0/8 0;
43.132.198.237/32 0;
}
# 匹配白名單不限速,否則限速,limit_key做匹配的key
map $limit $limit_key {
0 "";
1 $binary_remote_addr;
}
# 限制請求數(shù),漏桶算法,每秒放行5個,超過的會排隊
limit_req_zone $limit_key zone=req_ip:10m rate=5r/s;
# 超限返回444,直接斷開鏈接,不響應(yīng)任何內(nèi)容
limit_req_status 444;
#限制連接數(shù)
limit_conn_zone $limit_key zone=con_ip:10m;
server {
...
# 限制下載速度100kBps每秒
limit_rate 100k;
# 限制下載burst為1M,前1M不限速,后面限速
limit_rate_after 1m;
# 限制并發(fā)連接為1
limit_conn con_ip 40;
location / {
# 兩段限速,前100個不限速,后200個限速,限制5個/秒,超過斷開鏈接
...
}
location /public/pkg/ {
# 限制下載并發(fā)為2,防止刷流量
limit_conn con_ip 2;
limit_req zone=req_ip burst=10;
}
}
}
標(biāo)簽:
