投稿
  1. intoep专注于科技资讯和IT技术分享首页
  2. 系统运维
  3. Linux

Nginx如何防止DDoS(分布式拒绝服务)攻击

Linux, 系统运维 阅读 1656

为了防止DDoS(分布式拒绝服务)攻击,你可以采取一系列措施来增强Nginx服务器的安全性。以下是一个综合性的方案,旨在减少DDoS攻击的风险,并提升服务器的安全性和稳定性

为了防止DDoS(分布式拒绝服务)攻击,你可以采取一系列措施来增强Nginx服务器的安全性。以下是一个综合性的方案,旨在减少DDoS攻击的风险,并提升服务器的安全性和稳定性:

1. 配置Nginx限流

1.1 使用limit_req模块

limit_req模块可以帮助你限制客户端请求的频率,这对于防止突发流量攻击特别有用。

http {
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s; # 每秒限制为1个请求
server {
listen 80;
# 在server块中应用限流
limit_req zone=mylimit burst=5; # 短时间内允许最多5个请求
location / {
...
}
}
}

2. 配置IP黑名单

2.1 使用geo指令

你可以根据IP地址或IP范围来阻止恶意访问。

http {
geo $ip_block {
default 0;
192.0.2.1 1; # 添加具体的恶意IP地址
192.0.2.0/24 1; # 添加具体的IP范围
}
server {
if ($ip_block = 1) {
return 403; # 拒绝黑名单中的IP访问
}
listen 80;
server_name example.com;
location / {
...
}
}
}

3. 使用limit_conn模块

limit_conn模块可以限制每个连接池的并发连接数,这对于防止大量并发连接攻击非常有效。

http {
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;
server {
listen 80;
# 应用连接限制
limit_conn conn_limit 100; # 每个IP的最大连接数为100
location / {
...
}
}
}

4. 使用real_ipset_real_ip_header

4.1 设置真实IP

如果你的Nginx后面还有负载均衡器或代理服务器,确保Nginx能识别真实的客户端IP地址。

http {
set_real_ip_header X-Real-IP;
real_ip_header X-Real-IP;
server {
listen 80;
location / {
...
}
}
}

5. 使用ignore_invalid_headers

5.1 忽略无效头部

这可以防止攻击者利用无效的HTTP头部进行攻击。

http {
ignore_invalid_headers on;
server {
listen 80;
location / {
...
}
}
}

6. 使用open_file_cache

6.1 优化文件描述符缓存

这可以提高Nginx的性能,减少资源消耗。

http {
open_file_cache max=10000 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 2;
open_file_cache_errors on;
server {
listen 80;
location / {
...
}
}
}

7. 启用HTTPS

7.1 使用HTTPS

HTTPS不仅可以保护传输数据的安全性,还可以降低某些类型的攻击风险。

server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
location / {
...
}
}

8. 配置日志审计

8.1 日志记录

确保日志记录详细,并定期审查日志,及时发现异常行为。

http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
server {
access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error.log;
location / {
...
}
}
}

9. 配合使用第三方工具

9.1 使用第三方安全工具

除了Nginx配置外,还可以考虑使用第三方工具,如ModSecurity或Cloudflare等,它们提供了更高级的DDoS防护和Web应用程序防火墙功能。

转载作品,原作者:聪明的花猫哦,文章来源:https://www.toutiao.com/article/7414323481913623050

(0)
打赏 微信赞赏 微信赞赏 支付宝赞赏 支付宝赞赏
0 0
如何监控Nginx性能指标
上一篇 2024-07-08 09:46
nginx站点开启http/3 提升网站速度与安全性
下一篇 2024-10-29 09:54
香港云服务器2核2G,18元/月
跨境电商9810/9710订单申报平台

相关推荐

  • nginx根据客户浏览器语言跳转不同的页面 Linux

    nginx根据客户浏览器语言跳转不同的页面

    nginx根据客户浏览器语言跳转不同的页面,该代码首先使用 map 指令将客户端的 Accept-Language HTTP 头部映射到一个变量 $lang,然后使用 if 指令在不同的语言设置下进行重定向。

    2024-01-16
    1.6K0
  • Nginx进阶实用配置:压缩、代理、限流、请求合并 Linux

    Nginx进阶实用配置:压缩、代理、限流、请求合并

    Nginx是个性能很强的Web服务器和反向代理工具,配置灵活、功能多,能优化网站速度、稳住服务稳定性。这篇文章就聚焦四个最常用的场景——GZIP压缩、免备案反向代理、流量限流、请求合并。

    2026-01-14
    380

  • ServBay本地PHP Python Node.js MySQL PostgreSQL Ollama Web开发环境管理工具

    ServBay本地PHP Python Node.js MySQL PostgreSQL Ollama Web开发环境管理工具ServBay本地PHP Python Node.js MySQL PostgreSQL Ollama Web开发环境管理工具ServBay本地PHP Python Node.js MySQL PostgreSQL Ollama Web开发环境管理工具ServBay本地PHP Python Node.js MySQL PostgreSQL Ollama Web开发环境管理工具

    ServBay 是一款功能强大且全面的本地 Web 开发环境管理工具,专为专业 Web 开发人员设计,现已支持 macOS 和 Windows。

    2026-01-12 其它
    340
  • nginx站点开启http/3 提升网站速度与安全性 Linux

    nginx站点开启http/3 提升网站速度与安全性

    HTTP/3作为最新的网络协议,通过采用QUIC传输层协议,进一步提升了网页传输的效率和安全性。相比HTTP/2,HTTP/3在网络连接速度、可靠性和安全性方面具有显著优势。因此,开启HTTP/3成为许多站长优化网站性能的重要步骤。本文将介绍HTTP/3的基本概念、优势,以及如何在NGINX站点上开启HTTP/3以提升网站的速度与安全性。

    2024-10-29
    1.9K0
  • 宝塔Nginx反代上游服务器不支持HTTP3,如何启用HTTP3 WordPress相关

    宝塔Nginx反代上游服务器不支持HTTP3,如何启用HTTP3

    上一篇文章介绍了宝塔如何为网站开启HTTP3,这个适合没有反代的网站,但是如果我们平常使用Docker的时候就会发现之前的文章是无法解决Docker项目的HTTP3开启了。 HTT…

    2025-10-09
    5050

  • nginx安全配置

    隐藏版本号 http { server_tokens off; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及…

    Linux 2022-01-05
    1.7K0

发表回复

登录后才能评论
扫码了解
扫码了解
反馈建议
分享本页
返回顶部
首页
快讯
专题
购物