限制每个IP每秒的连接数
http {
# 用户ip每秒的连接数
limit_conn_zone $binary_remote_addr zone=peripconn:1m;
# 虚拟主机每秒的连接数
limit_conn_zone $server_name zone=perserverconn:1m;
server {
limit_conn peripconn 5;
limit_conn perserverconn 50;
}
}
限制每个IP每秒的请求数
http {
# ip每秒请求数
limit_req_zone $binary_remote_addr zone=peripreq:1m rate=5r/s;
# 虚拟服务器每秒请求数
limit_req_zone $server_name zone=perserverreq:1m rate=10r/s;
server {
# burst为突发请求,最大突发请求为5个 nodelay 即为立即返回503 不缓存
limit_req zone=peripreq burst=5 nodelay;
limit_req zone=perserverreq burst=10;
}
}
后注
经过实际测试,一般的个人用机使用用当前方法阻止DDos和CC攻击的效果有是有,但不是很明显。毕竟服务器光处理垃圾请求就已经满负荷运行了,虽然服务器不至于很容易崩溃,但却会导致超时响应。
个人更加推荐上述方式配合使用cdn实现,一来能隐藏网站ip,二来还能加速网站,一举多得