http塊
limit_conn_zone $binary_remote_addr zone=connperip:10m; limit_conn_zone $server_name zone=connperserver:10m; limit_req_zone $binary_remote_addr zone=reqperip:10m; limit_req_zone $server_name zone=reqperserver:10m;
limit_req_zone $http_x_forwarded_for zone=qps2:10m rate=2r/s;
limit_req_zone $http_x_forwarded_for zone=qps3:10m rate=3r/s;
limit_req_zone $binary_remote_addr $request_uri zone=thre:3m rate=1r/s; #支持多個變量,比如限制同一 IP 訪問同一 Url 的頻率
要限制連接,必須先有一個容器對連接進行計數,在http段加入如下代碼:"zone=" 給它一個名字,可以隨便叫,這個名字要跟后面的 limit_conn 一致,$binary_remote_addr, 用二進制來儲存客戶端的地址,1m 可以儲存 32000 個並發會話,也可以用其他 Nginx 變量。
限制請求數同限制連結束,但是后面 rate=2r/s,即漏桶原理,表示每秒只處理 2 個連接。定義一個漏桶,滴落速率 2 req/sec,桶空間10m,10M能保持大約160000個(IP)狀態。
server塊
limit_conn perip 8; #每個IP最大連接數為8 limit_req zone=qps2 burst=5 nodelay; #速率qps=2,峰值burst=5,不延遲請求,直接處理請求或者返回503 limit_req zone=qps2 burst=5; #速率qps=2,峰值burst=5,延遲請求,嚴格按照漏桶速率qps=1處理每秒請求,在峰值burst=5以內的並發請求,會被掛起,延遲處理,超出請求數限制則直接返回503,客戶端只要控制並發在峰值[burst]內,就不會觸limit_req_error_log
limit_rate 100k; #是對每個連接限速100k。這里是對連接限速,而不是對IP限速!如果一個IP允許兩個並發連接,那么這個IP就是限速limit_rate * 2
白名單
文件: nginx/conf/limit/whiteip.conf
127.0.0.1 0; #白名單: 127.0.0.1 172.16.0.0/16 0; #白名單 172.16.0.0 ~ 172.16.255.255 192.168.0.0/24 0; #白名單 192.168.0.0 ~ 192.168.0.255
文件 nginx/conf/limit/limit_zone.conf
#geo [$address] $variable
#$address變量默認 $remote_addr,如果 $address 的值不能代表一個合法的IP地址,那么nginx將使用地址“255.255.255.255”。
geo $whiteiplist { default 1; include limit/whiteip.conf; } map $whiteiplist $limit { 1 $binary_remote_addr; 0 ""; } limit_req_zone $limit zone=perreq:10m rate=8r/s; #除了白名單外的IP每秒最多處理 8 個請求 limit_conn_zone $limit zone=perip:10m; #limit_conn_zone和limit_req_zone指令對於鍵為空值的將會被忽略,從而實現對於列出來的IP不做限制
spider 限制參考
limit_req_zone $anti_spider zone=one:10m rate=10r/s;
if ($http_user_agent ~* "googlebot|bingbot|Feedfetcher-Google") { set $anti_spider $http_user_agent; }