博客服务器简易防CC攻击设置

本文转载自互联网，已在文末注明来源。

防护CC攻击的主要手段是限制并发请求数量和请求速率. 并发请求数量指的是单ip可以与服务器建立多少个连接，请求速率指的是单位时间内的请求数。两者有共同部分但意义不同，例如建立十个连接每个连接请求一次，也可以建立一个连接请求十次。前者是并发连接多，后者是请求速率高。

Nginx既支持并发请求的限制，也支持按限制请求速率。防御CC攻击主要是限制速率，理论上速率限制得好就够了。实践中建议两者结合，既防止太多连接消耗服务器资源，也防止请求速率过快。

nginx的有关操作

重启nginx

/usr/sbin/nginx -s reload

nginx日志填坑

命令统计nginx日志中访问最多的100个ip及访问次数

awk '{print $1}' 日志地址 | sort | uniq -c | sort -n -k 1 -r | head -n 100

Nginx防CC设置步骤

1. 编辑Nginx配置文件，例如 /etc/nginx/nginx.conf ， 在 http段分配计数内存：

limit_conn_zone $binary_remote_addr zone=limit_conn:10m;
limit_req_zone $binary_remote_addr zone=limit_req:10m rate=10r/s;

上述配置分配了 limit_conn 和 limit_req 两个10M大小的内存块（1M内存可记录16000个会话），并设置每秒最大请求速率是10次。

1. 打开网站配置文件，例如 /etc/nginx/conf.d/ryzezr.com.conf，在server或者location段中开启限制：

limit_conn limit_conn 5; # 并发连接数不超过5
limit_req zone=limit_req burst=10 nodelay;

其他设置

http中设置每秒允许10个请求，即100毫秒一个，如果突然来10个连接，后面9个直接返回503错误，这是我们不愿意看到的。limit_req中的 burst 参数用来处理突发请求，此时10个请求都会被接受以应对突发流量。如果再来10个，那就超出了允许的突发限制，Nginx直接返回503错误。

nodelay 表示在允许突发请求的情况下，直接处理所有请求，而不是每100毫秒处理一个。

实践中请根据具体情况设置并发连接数和请求速率。数值过大会影响防御效果，太小则会影响正常用户使用。此外，建议总是启用 burst 和 nodelay 以应对突发流量。

在docker-compose.yml中新增相关配置，如下

- ./log/nginx/:/var/log/nginx/:rw      //将宿主机的目录映射到nginx所在的容器中
- ./conf/nginx/blacklist.conf:/etc/nginx/blacklist.conf:ro // 将需要ban 的ip 配置文件射到nginx宿主机中

services:
  nginx:
    image: anguiao/nginx-brotli
    container_name: blog_nginx
    ports:
      - 80:80
      - 443:443
    volumes:
      - ./www/:/var/www/html/:rw
      - ./ssl/:/var/www/ssl/:ro
      - ./conf/nginx/nginx.conf:/etc/nginx/nginx.conf:ro
      - ./conf/nginx/ryzezr.com.conf:/etc/nginx/conf.d/ryzezr.com.conf:ro
      - ./conf/nginx/blacklist.conf:/etc/nginx/blacklist.conf:ro
      - ./log/nginx/:/var/log/nginx/:rw
    restart: always
    depends_on:
      - fpm
      - mysql

修改nginx配置文件

nginx配置文件结构请移步
使用 docker容器搭建typecho个人博客（docker-compose版）

在ryzezr.com.conf末尾处添加代码

include /etc/nginx/blacklist.conf;

检测nginx 配置是否正确的操作

nginx -t -c xxx.conf

• -t 测试配置文件是否正确
• -c 指定文件路径

进入nginx所在的容器重启nginx

docker exec -it blog_nginx /usr/sbin/nginx -s reload

deny ip

tail -n5000 /root/docker_typecho/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | awk '{if($1>100)print "deny "$2";"}' > /root/docker_typecho/conf/nginx/blacklist.conf

形成自动脚本

#! /bin/sh
tail -n5000 /root/docker_typecho/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | awk '{if($1>100)print "deny "$2";"}' > /root/docker_typecho/conf/nginx/blacklist.conf
echo > /root/docker_typecho/log/nginx/access.log 
echo > /root/docker_typecho/log/nginx/error.log 
docker exec -i blog_nginx /usr/sbin/nginx -s reload

添加可执行权限

chmod +x /root/docker_typecho/auto/nginx_ipblack_auto.sh

每十分钟执行一次

crontab -e

编辑内容如下：

*/10 * * * * /root/docker_typecho/auto/nginx_ipblack_auto.sh

参考引用

• 服务器简易防CC攻击设置
• 通过nginx配置文件抵御攻击，防御CC攻击的经典思路！
• nginx 限流模块和fail2ban搭配使用

原文地址：

blog.ryzezr.com/archives/nginx_auto_ban_ip.html

版权属于：soarli

本文链接：https://blog.soarli.top/archives/576.html

转载时须注明出处及本声明。