这是一个创建于 1130 天前的主题,其中的信息可能已经有所发展或是发生改变。
HTTP 配置:
limit_req_zone $binary_remote_addr zone=allips:10m rate=50r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn_zone $server_name zone=server:10m;
SERVER 配置:
location / {
limit_conn addr 10;
limit_conn server 30;
limit_req zone=allips burst=20 nodelay;
try_files $uri $uri/ /index.php$is_args$args;
}
在不影响正常请求的情况下,有没什么好的配置方法?
limit_req_zone $binary_remote_addr zone=allips:10m rate=50r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn_zone $server_name zone=server:10m;
SERVER 配置:
location / {
limit_conn addr 10;
limit_conn server 30;
limit_req zone=allips burst=20 nodelay;
try_files $uri $uri/ /index.php$is_args$args;
}
在不影响正常请求的情况下,有没什么好的配置方法?
14 条回复 • 2021-09-29 08:01:35 +08:00
 |
1
Daylight1993 2021-09-28 17:46:38 +08:00
ddos 不是打你服务的,是打你的 ip 。ddos 只能靠机房带宽来抗的。
|
|
2
Daylight1993 2021-09-28 17:47:17 +08:00
哪怕你服务器关机了,照样把你的 ip 打到黑洞里去。
|
 |
3
x86 2021-09-28 17:47:43 +08:00  1
$$$才能防 DDOS
|
 |
4
keepeye 2021-09-28 17:50:57 +08:00
你这是防 cc 吧
|
 |
6
hadesy 2021-09-28 18:27:04 +08:00
DDos 也分 L3 和 L7,L3 还是得靠厂商上层网络流量防护,有时候流量还没到你机器就被黑洞了
|
 |
7
netnr 2021-09-28 18:46:11 +08:00 via Android
先接住再拒绝,接不住谈何拒绝
|
 |
8
40EaE5uJO3Xt1VVa 2021-09-28 18:48:22 +08:00
有很多 ddos 攻击超出机房防御阈值,机房直接把小鸡空路由,丢黑洞里,nginx 都发挥不上用途。
|
 |
9
westoy 2021-09-28 18:57:33 +08:00
这等于你穿了件加强铠想去挡洪水......哟, 还真是洪水.....
|
 |
10
eason1874 2021-09-28 19:29:37 +08:00
DDOS 是用海量请求把你的服务器带宽、计算资源耗尽,根本不在乎你返回什么内容,脱离服务器配置谈防御没有意义。
Nginx 根据 IP 限流的前提是拿到访问者的 IP,DDOS 也只需要你接受 IP 报就完事了,它用无数的 IP 报把你带宽打满,正常用户都挤不进来。 防 DDOS 靠机房,Nginx 本身只能简单防下 CC 频繁请求。 |
 |
11
sggggy 2021-09-28 19:34:11 +08:00
前几天游戏开服,黑客不讲武德,一波操作 2000W 并发连接,好在 AWS 很讲武德的,很快啊,防住,防住了大部分,放进来 50W 的连接请求,服务器命硬没直接跪地,撑过去了。
|
Select Language