Nginx阻止DDoS攻击解决方案

DDoS攻击是比较常用的攻击方式，但是对于中小企业来说又没有一个安全运维，如果遇到这种DDoS攻击就会素手无策，这里就分享一下，如果遇到这种问题，如何使用Nginx做一些防护，避免DDoS攻击带来的服务不稳定，那么什么是DDoS攻击呢？分布式拒绝服务攻击（DDoS）指的是通过多台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞、资源耗尽从而不能为正常用户提供正常服务的攻击手段。随着互联网带宽的增加和相关工具的不断发布，这种攻击的实施难度越来越低，有大量IDC托管机房、商业站点、游戏服务商一直饱受DDoS攻击的困扰，那么如何缓解甚至解决DDoS呢？要想解决DDoS攻击，哪我们就需要了解DDoS攻击的方式和特点。

DDoS攻击的特点：例如攻击的流量通常来源于一些固定的IP地址，每一个IP地址会创建比真实用户多得多的连接和请求；同时由于流量全部是由机器产生的，其速率要比人类用户高的多。此外，进行攻击的机器其User-Agent头也不是标准的值，Referer头有时也会被设置成能够与攻击关联起来的值。针对这些特点，Rick Nelson认为Nginx和Nginx Plus有很多能够通过调节或控制流量来应对或者减轻DDoS攻击的特性。

限制请求率

将Nginx和Nginx Plus可接受的入站请求率限制为某个适合真实用户的值。例如，通过下面的配置让一个真正的用户每两秒钟才能访问一次登录页面：

limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m;

server {
    ...
    location /login.html {
        limit_req zone=one;
    ...
    }
}

在该配置中，limit_req_zone指令配置了一个名为one的共享内存zone用来存储$binary_remote_addr的请求状态，location块中/login.html的limit_req指令引用了共享内存zone。

限制连接的数量

将某个客户端IP地址所能打开的连接数限制为真实用户的合理值。例如，限制每一个IP对网站/store部分打开的连接数不超过10个：

limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
    ...
    location /store/ {
        limit_conn addr 10;
        ...
    }
}

该配置中，limit_conn_zone指令配置了一个名为addr的共享内存zone用来存储 $binary_remote_addr的请求，location块中/store/的limit_conn指令引用了共享内存zone，并将最大连接数设置为10.

关闭慢连接

关闭那些一直保持打开同时写数据又特别频繁的连接，因为它们会降低服务器接受新连接的能力。Slowloris就是这种类型的攻击。对此，可以通过client_body_timeout和client_header_timeout指令控制请求体或者请求头的超时时间，例如，通过下面的配置将等待时间控制在5s之内：

server {
    client_body_timeout 5s;
    client_header_timeout 5s;
    ...
}

设置IP黑名单

如果能识别攻击者所使用的客户端IP地址，那么通过deny指令将其屏蔽，让Nginx和Nginx Plus拒绝来自这些地址的连接或请求。例如，通过下面的指令拒绝来自123.123.123.3、123.123.123.5和123.123.123.7的请求：

location / {
    deny 123.123.123.3;
    deny 123.123.123.5;
    deny 123.123.123.7;
    ...
}

设置IP白名单

如果允许访问的IP地址比较固定，那么通过allow和deny指令让网站或者应用程序只接受来自于某个IP地址或者某个IP地址段的请求。例如，通过下面的指令将访问限制为本地网络的一个IP段：

location / {
    allow 192.168.1.0/24;
    deny all;
    ...
}

通过缓存削减流量峰值

通过启用缓存并设置某些缓存参数让Nginx和Nginx Plus吸收攻击所产生的大部分流量峰值。例如，通过proxy_cache_use_stale指令的updating参数告诉Nginx何时需要更新过期的缓存对象，避免因重复发送更新请求对后端服务器产生压力。另外，proxy_cache_key指令定义的键通常会包含嵌入的变量，例如默认的键$scheme$proxy_host$request_uri包含了三个变量，如果它包含$query_string变量，那么攻击者可以通过发送随机的query_string值来耗尽缓存，因此，如果没有特别原因，不要在该键中使用$query_string变量。

阻塞请求

配置Nginx和Nginx Plus阻塞以下类型的请求：

• 以某个特定URL为目标的请求

• User-Agent头中的值不在正常客户端范围之内的请求

• Referer头中的值能够与攻击关联起来的请求

• 其他头中存在能够与攻击关联在一起的值的请求

例如，通过下面的配置阻塞以/foo.php为目标的攻击：

location /foo.php {
    deny all;
}

或者通过下面的配置阻塞已识别出的User-Agent头的值是foo或者bar的DDoS攻击：

location / {
    if ($http_user_agent ~* foo|bar) {
        return 403;
    }
    ...
}

限制对后端服务器的连接数

通常Nginx和Nginx Plus实例能够处理比后端服务器多得多的连接数，因此可以通过Nginx Plus限制到每一个后端服务器的连接数。例如，通过下面的配置限制Nginx Plus和每一台后端服务器之间建立的连接数不多于200个：

upstream website {
    server 192.168.100.1:80 max_conns=200;
    server 192.168.100.2:80 max_conns=200;
    queue 10 timeout=30s;
}

这是集中遇到DDoS攻击的解决方案，可以根据自己的实际情况，选择合适的方式，也可以把上面的所有方式都应用到现有的环境中，这个根据自己的环境来决定。后期如果有更好的解决方式会再次更新。