找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
网推大家坛 新闻 网站推广 网站技术 查看内容

NGINX防CC蜘蛛白名单设置,IP白名单设置汇总

2016-5-1 00:15| 发布者: xyeyou| 查看: 958| 评论: 0

简介:NGINX防CC效果虽然很不错,但是蜘蛛访问也受影响是硬伤,而且IP越多权重越高问题越严重,所以特此收集了一些常见的IP段,防止NGINX防CC误杀...


一、简介

      在通常情况下,使用 nginx 基于 ip 限制访问请求频率等限制内容,我们会需要对特定ip进行限制排除操作,因此本文引入了基于nginx geo 与 nginx map 进行此类情景相关配置;

      在没有人为操作删除的情况下without-http_geo_module,nginx默认模块中已经加载了ngx-http-geo-module相关内容;

       ngx-http-geo-module可以用来创建变量,变量值依赖于客户端 ip 地址;

       ngx-http-map-module可以基于其他变量及变量值进行变量创建,其允许分类,或者映射多个变量到不同值并存储在一个变量中;

      ngx-http-map-module相关内容同样在默认nginx中已存在,除非由人为移除( --without-http_map_module

二、相关指令格式

Nginx geo 格式说明

1
2
3
4
5
Syntax ( 语法格式 ): geo [$address] $variable { ... }
 
Default ( 默认 ): -
 
Content ( 配置段位 ): http


Nginx map 格式说明

1
2
3
4
5
Syntax ( 语法格式 ): map String $variable { ... }
 
Default ( 默认 ):-
 
Content ( 配置段位 ): http


三、白名单配置示例

#(特殊情况处理)
 
  #如果想仅限制指定的请求,如:只限制Post请求,则:
 
    http{
       
      # 其他请求..
       
      #请求地址map映射
        map $request_method $limit {
            default "";
            POST $binary_remote_addr;
          }
 
       #限制定义
       limit_req_zone $limit zone=reqlimit:20m rate=10r/s;
        
   }
    
   #然后在server中进行引用。
    
   server{
      ... #与普通限制一致
    }
 
     
     
     
     
     
 #在此基础上,想进行指定方法的白名单限制处理,则:
  
 http{
   
   #... 
    
   #定义白名单列表
   map $whiteiplist $limitips{
            1 $binary_remote_addr;
            0 "";
       }
 
 
    #基于白名单列表,定义指定方法请求限制
    map $request_method $limit {
            default "";
           # POST $binary_remote_addr;
             POST $limitips;
        }
 
    #对请求进行引用    
    limit_req_zone $limit zone=reqlimit:20m rate=10r/s; 
     
    #在server中进行引用
    server{
       #... 与普通限制相同
    }
     
     
    # 对应用中指定请求路径不设置限制,如对请求路径为  即api目录下的请求不做
    # 限制,则可写为 
    server{
      location /app {
         proxy_pass http://192.168.1.111:8095/app;
         limit_req zone=foo burst=5 nodelay; 
      }
      location /app/api {
          proxy_pass http://192.168.1.111:8095/app/api
      }
    }
     
    # 因nginx会优先进行精准匹配,所以以上写法即接触了对api目录下属路径的限制

下面方法可以防止黑客知道你的源服务器真实IP进行并发攻击,通常只需要保护动态文件请求,如PHP。

添加文件 nginx/conf/limit/whiteip.conf 里面是你要忽略限制的白名单IP地址,通常是你自己的地址或者CND地址,或者负载均衡服务器的IP地址,再或者你的安全代理服务器(安全宝或360网站卫士等)的地址。

127.0.0.1 0;        #白名单: 127.0.0.1
172.16.0.0/16 0;    #白名单 172.16.0.0 ~ 172.16.255.255
192.168.0.0/24 0;   #白名单 192.168.0.0 ~ 192.168.0.255

添加文件 nginx/conf/limit/limit_zone.conf 内容如下

    geo $whiteiplist  {
        default 1;
        include limit/whiteip.conf;
    }

    map $whiteiplist  $limit {
        1 $binary_remote_addr;
        0 "";
    }

    limit_req_zone $limit zone=perreq:10m rate=8r/s;     #除了白名单外的IP每秒最多处理 8 个请求
    limit_conn_zone $limit zone=perip:10m;   

添加文件 nginx/conf/limit/limit_location.conf

    limit_conn perip 8;        # 限制除了白名单外的IP,每个IP最大并发为8
    limit_req zone=perreq nodelay;

limit_conn/limit_req 可以只保留其中一个看自己需要了!

修改 nginx/conf/nginx.conf 在 http { ... } 区域添加下面代码

include limit/limit_zone.conf;

然后在虚拟主机的配置文件的 location ~ .*\.(php|php5)?$ { ... } 区域(就是处理php文件请求的区域)添加

include limit/limit_location.conf;


12下一页
收藏 分享 邀请
鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋

看过本文的人还看过

已有 0 人参与

会员评论

推荐阅读

返回顶部