简介
- Nginx是一个异步框架的Web服务器,也可以用作反向代理,负载均衡器和HTTP缓存,最常用的便是Web服务器。nginx对于预防一些攻击也是很有效的,例如CC攻击,爬虫,本文将介绍限制这些攻击的方法,可以使用nginx的ngx_http_limit_conn_module、ngx_http_limit_req_module这两个模块达到目的,该模块为nginx内置模块,yum安装即有,无需编译安装。本文就介绍nginx这两个模块的使用和细节,希望能够对需要的小伙伴有所帮助。
基本环境介绍
- 两台机器,192.168.30.105和192.168.30.106均为 1c2g40g配置,106主机提供web服务,105主机部署ab工具。
web服务如下
ab压测获取基础数据
105 ab压测结果
对web服务器index.html页面发送并发为1000总计1000000的请求测试,每个请求建立一个连接
ab -n 1000000 -c 1000 http://192.168.30.106:80/index.html
从测试结果来看,请求全部成功;有98%的请求在22ms以内就完成响应,有99%的请求在1007ms以内就完成响应,请求响应的最长时长为31077ms。
nignx ngx_http_limit_conn_module模块
- 该模块的功能是限制单个ip建立连接的个数。
对nginx进行配置
http {
limit_conn_zone $binary_remote_addr zone=one:10m;
...
server {
...
location / {
limit_conn one 1;
}
限制每个ip连接的个数为一个
测试
对web服务器index.html页面发送并发为1000总计1000000的请求测试
ab -n 1000000 -c 1000 http://192.168.30.106:80/index.html
从测试结果来看,请求全部成功;有98%的请求在58ms以内就完成响应,有99%的请求在1008ms以内就完成响应,请求响应的最长时长为31870ms。
测试效果
测试结果无变化,查众多文档,有问题,无答案,估计是个bug。
nignx ngx_http_limit_req_module模块
- 该模块的功能是限制单个ip请求的个数(请求频率)。
对nginx进行配置
去掉之前limit_conn 配置,添加如下配置
http {
limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
...
server {
...
location / {
limit_req zone=two;
}
限制请求的频率为单个ip每秒一个
测试
对web服务器index.html页面发送并发为1000总计1000000的请求测试
ab -n 1000000 -c 1000 http://192.168.30.106:80/index.html
从测试结果来看,请求只有55个成功。
测试效果
有效的阻止了用户的请求。
测试过程web服务资源使用情况监控
CPU利用
网络接口流量
TCP连接数状态
总结
- 从测试的结果以及监控数据来看,limit_conn模块无效,不能起到任何限制作用;limit_req模块能够明显限制用户的请求内容,对于超出限制的请求,给予503的反馈;两者对服务器性能上都没有优化作用,拒绝的请求需要花费更多的硬件资源来处理,CPU消耗增多,接口流出的流量剧增。
- 测试结果不是很理想,对于文中的错误和不足,欢迎有见识的小伙伴批评指教。
参考文档
- 官方文档:http://nginx.org/en/docs
- 使用nginx limit_req限制用户请求速率:https://www.centos.bz/2017/03/using-nginx-limit_req-limit-user-request-rate
- 关于limit_req和limit_conn的区别:https://blog.csdn.net/u012566181/article/details/49968283
- ab压力测试报错:https://www.cnblogs.com/felixzh/p/8295471.html
- ab性能测试结果分析:https://www.cnblogs.com/gumuzi/p/5617232.html
- Rate Limiting with NGINX and NGINX Plus:https://www.nginx.com/blog/rate-limiting-nginx/