流量控制
流量限制。 可以由客户端用于在指定时间内限制HTTP请求的数量。 请求可以是获取请求,也可以是登录表单的开机自检请求。 流量限制可用于安全目的,如暴力解密速度降低。 也可以通过将传入请求的速度限制为实际用户的标准值并确定目标URL地址来保护其免受DDOS攻击。 此功能可用于保护上游的APP应用程序服务器,以避免同时被大量用户的请求压溃。
概述和配置:
1、Nginx 限流
Nginx流量限制使用漏桶算法(leaky bucket algorithm ),漏桶算法广泛用于通信和分组交换计算机网络,用于应对带宽有限时的突发情况
2、配置基本的限流
流量限制配置的两个主要命令limit_req_zone和limit_req :
192.168.62.155配置: limit _ req _ zone $ binary _ remote _ addr zone=my limit :10 m rate=1r/s; ustream myweb { server 192.168.62.157336080 weight=1max _ fails=1fail _ time out=1; }server { listen 80; server_name localhost; location/log in { limit _ re qzone=my limit; proxy_pass http://myweb; proxy _ set _ header host $ host : $ server _ port; proxy _ set _ headerx-real-IP $ remote _ addr; proxy _ set _ headerx-forwarded-for $ proxy _ add _ x _ forwarded _ for; }}192.168.62.157配置:server { listen 80; server_name localhost; 位置/log in { root/usr/share/nginx/html; 索引索引. html index.html; }} limit_req_zone命令定义与流量限制相关的参数
limit_req命令为所有“/login/”请求在出现的上下文中启用流量限制。
limit_req_zone 指令通常在 HTTP 模块中定义,使其可在多个上下文中使用,它需要以下三个参数:
ky-定义应用约束的请求特性。 示例中的Nginx变量$binary_remote_addr保留客户端IP地址的二进制格式。 每个不同的IP地址可以限制为第三个参数设置的请求速率。 (使用此变量是因为它比字符串格式的客户端IP地址$remote_addr更少。)
Zone -定义每个IP地址的状态以及用于限制请求的URL访问频率的共享内存空间。 存储在内存共享区域中的信息意味着可以在Nginx工作器进程之间共享。 定义分为两个部分。 通过zone=keyword标识区域的名称,并在冒号后添加区域大小。 16000个IP地址的状态信息大约需要1MB,因此示例区域可以包含160000个IP地址。
Rate -定义最大请求速率。 在本例中,一秒钟内不能超过一个请求。 Nginx实际上以毫秒的粒度跟踪请求,因此速率限制相当于每1000毫秒一个请求。 由于不允许“突发情况”(请参阅下一章),在距上一个请求1000毫秒内到达的请求将被拒绝。
limit_req_zone命令设置流量限制和共享内存空间参数,但实际上并不限制请求速率。 因此,必须通过添加limit_req命令将流量限制应用于特定的位置或服务器块。
3、处理突发
如果在1000毫秒内收到两个请求怎么办? 对于第二个请求,Nginx向客户端返回错误。 这不是我们想要的结果。 因为应用本质上倾向于突发性。 相反,我们希望缓冲和及时处理超出的请求。 已将配置更新为在limit_req中使用burst参数。
limit _ req _ zone $ binary _ remote _ addr zone=my limit 336010 m rate=1r/s; ustream myweb { server 192.168.62.157336080 weight=1max _ fails=1
fail_timeout=1; } server { listen 80; server_name localhost; location /login { limit_req zone=mylimit burst=20; proxy_pass http://myweb; proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }burst 参数定义了超出 zone 指定速率的情况下(示例中的 mylimit 区域,速率限制在每秒 10 个请求,或每 100 毫秒一个请求),客户端还能发起多少请求。上一个请求 100 毫秒内到达的请求将会被放入队列,我们将队列大小设置为 20。
这意味着,如果从一个给定 IP 地址发送 21 个请求,Nginx 会立即将第一个请求发送到上游服务器群,然后将余下 20 个请求放在队列中。然后每 100 毫秒转发一个排队的请求,只有当传入请求使队列中排队的请求数超过 20 时,Nginx 才会向客户端返回错误。
4、配置流量控制相关功能
配置日志记录默认情况下,Nginx 会在日志中记录由于流量限制而延迟或丢弃的请求,如下所示:
2019/02/13 04:20:00 [error] 120315#0: *32086 limiting requests, excess: 1.000 by zone "mylimit", client: 192.168.1.2, server: nginx.com, request: "GET / HTTP/1.0", host: "nginx.com"日志条目中包含的字段:
limiting requests - 表明日志条目记录的是被“流量限制”请求
excess - 每毫秒超过对应“流量限制”配置的请求数量
zone - 定义实施“流量限制”的区域
client - 发起请求的客户端 IP 地址
server - 服务器 IP 地址或主机名
request - 客户端发起的实际 HTTP 请求
host - HTTP 报头中 host 的值
默认情况下,Nginx 以 error 级别来记录被拒绝的请求,如上面示例中的[error]所示(Nginx 以较低级别记录延时请求,一般是 info 级别)。如要更改 Nginx 的日志记录级别,需要使用 limit_req_log_level 指令。这里,我们将被拒绝请求的日志记录级别设置为 warn:
一定要定义日志位置和级别才可以:
继续访问测试,看 error.log 日志
一般情况下,客户端超过配置的流量限制时,Nginx 响应状态码为 503(Service Temporarily Unavailable)。可以使用 limit_req_status 指令来设置为其它状态码(例如下面的 404 状态码):
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s; upstream myweb { server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1; } server { listen 80; server_name localhost; location /login { limit_req zone=mylimit; limit_req_log_level warn; limit_req_status 404; proxy_pass http://myweb; proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } Nginx 流量控制总结以上已经涵盖了 Nginx 提供的“流量限制”的很多功能,包括为 HTTP 请求的不同 location 设置请求速率,给“流量限制”配置 burst 参数。
Nginx 访问控制
nginx 访问控制模块(1)基于 IP 的访问控制:http_access_module
(2)基于用户的信任登录:http_auth_basic_module
修改/etc/nginx/conf.d/access_mod.conf 内容如下:
server { listen 80; server_name localhost; location ~ ^/admin { root /home/www/html; index index.html index.hml deny 192.168.1.8; allow all; #deny 192.168.1.8; }}#需要注意:如果先允许访问,在定义拒绝访问。那么拒绝访问不生效。虚拟机宿主机 IP 为 192.168.1.8,虚拟机 IP 为 192.168.1.11,故这里禁止宿主机访问,允许其他所有 IP 访问。
宿主机访问 http://192.168.1.11/admin,显示 403 Forbidden。
当然也可以反向配置,同时也可以使用 IP 网段的配置方式,如 allow 192.168.1.0/24;,表示满足此网段的 IP 都可以访问。
如果你想拒绝某个指定 URL 地址的所有请求,而不是仅仅对其限速,只需要在 location 块中配置 deny all 指令:
server { listen 80; server_name localhost; location /foo.html { root /home/www/html; deny all; }} 基于用户的信任登录配置语法 Syntax:auth_basic string | off;default:auth_basic off;Context:http,server,location,limit_exceptSyntax:auth_basic_user_file file;default:默认无Context:http,server,location,limit_exceptfile:存储用户名密码信息的文件。2、配置示例
改名 access_mod.conf 为 auth_mod.conf,内容如下:
auth_basic 不为 off,开启登录验证功能,auth_basic_user_file 加载账号密码文件。
建立口令文件 [root@192 ~]# mkdir /home/www/html/admin -p[root@192 ~]# vim /home/www/html/admin/index.htmlhello qf[root@192 ~]# yum install -y httpd-tools #htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件[root@192 ~]# htpasswd -cm /etc/nginx/auth_conf user10 //第一次新建用户[root@192 ~]# htpasswd -m /etc/nginx/auth_conf user20 //第二次添加用户[root@192 ~]# cat /etc/nginx/auth_confuser10:$apr1$MOa9UVqF$RlYRMk7eprViEpNtDV0n40user20:$apr1$biHJhW03$xboNUJgHME6yDd17gkQNb0访问测试
访问IP
局限性
(1)用户信息依赖文件方式
(2)操作管理机械,效率低下