防HTTP慢速攻擊的nginx安全配置

概述

 

慢速攻擊，是一種ddos攻擊的變體版本。通常來說，它通過向服務器發送正常的請求，只不過請求的頭或者請求體的內容特別長，發送速度有特別慢，這樣每一個連接占用的時間就會變得特別長，攻擊者會在短時間內持續不斷的對服務器進行請求，很快便會耗盡服務端的資源，從而令服務端拒絕服務。

 

對HTTP服務而言，會有幾種基本攻擊方式：

Slow headers：Web應用在處理HTTP請求之前都要先接收完所有的HTTP頭部，Web服務器再沒接收到2個連續的\r\n時，會認為客戶端沒有發送完頭部，而持續的等等客戶端發送數據，消耗服務器的連接和內存資源。

Slow body：攻擊者發送一個HTTP POST請求，該請求的Content-Length頭部值很大，使得Web服務器或代理認為客戶端要發送很大的數據。服務器會保持連接准備接收數據，但攻擊客戶端每次只發送很少量的數據，使該連接一直保持存活，消耗服務器的連接和內存資源。

Slow read：客戶端與服務器建立連接並發送了一個HTTP請求，客戶端發送完整的請求給服務器端，然后一直保持這個連接，以很低的速度讀取Response，比如很長一段時間客戶端不讀取任何數據，通過發送Zero Window到服務器，讓服務器誤以為客戶端很忙，直到連接快超時前才讀取一個字節，以消耗服務器的連接和內存資源。

 

 

Nginx的優化配置

 

•  

  keepalive_timeout

  Nginx 使用 keepalive_timeout 來指定 KeepAlive 的超時時間（timeout）。指定每個 TCP 連接最多可以保持多長時間。Nginx 的默認值是 75 秒，有些瀏覽器最多只保持 60 秒，所以可以設定為 60 秒。若將它設置為 0，就禁止了 keepalive 連接。

   

•  

  client_body_timeout

  指定客戶端與服務端建立連接后發送 request body 的超時時間。如果客戶端在指定時間內沒有發送任何內容，Nginx 返回 HTTP 408（Request Timed Out）。

  1. # 配置段: http, server, location
  2. client_body_timeout 20s;

   

•  

  client_header_timeout

  客戶端向服務端發送一個完整的 request header 的超時時間。如果客戶端在指定時間內沒有發送一個完整的 request header，Nginx 返回 HTTP 408（Request Timed Out）。

  1. # 配置段: http, server, location
  2. client_header_timeout 10s;

   

•  

  send_timeout

  服務端向客戶端傳輸數據的超時時間。

  1. # 配置段: http, server, location
  2. send_timeout 30s;

   

•  

  client_body_buffer_size

  此指令設置用於請求主體的緩沖區大小。 如果主體超過緩沖區大小，則完整主體或其一部分將寫入臨時文件。 如果NGINX配置為使用文件而不是內存緩沖區，則該指令會被忽略。 默認情況下，該指令為32位系統設置一個8k緩沖區，為64位系統設置一個16k緩沖區。 該指令在NGINX配置的http，server和location區塊使用。

   

•  

  client_max_body_size

  此指令設置NGINX能處理的最大請求主體大小。 如果請求大於指定的大小，則NGINX發回HTTP 413（Request Entity too large）錯誤。 如果服務器處理大文件上傳，則該指令非常重要。

  默認情況下，該指令值為1m。 如下：

  1. server{
  2. client_max_body_size 2m;
  3. }

   

 

其他的配置選項：

 

•  

  client_body_in_file_only

  此指令禁用NGINX緩沖區並將請求體存儲在臨時文件中。 文件包含純文本數據。 該指令在NGINX配置的http，server和location區塊使用。 可選值有：

  off:該值將禁用文件寫入

  clean：請求body將被寫入文件。 該文件將在處理請求后刪除。

  on: 請求正文將被寫入文件。 處理請求后，將不會刪除該文件。

  默認情況下，指令值為關閉。 如下：

  1. http{
  2. client_body_in_file_only clean;
  3. }

   

•  

  client_body_in_single_buffer

  該指令設置NGINX將完整的請求主體存儲在單個緩沖區中。 默認情況下，指令值為off。 如果啟用，它將優化讀取$request_body變量時涉及的I/O操作。如下例子：

  1. server{
  2. client_body_in_single_buffer on;
  3. }

   

•  

  client_body_temp_path

  此指令指定存儲請求正文的臨時文件的位置。 除了位置之外，指令還可以指定文件是否需要最多三個級別的文件夾層次結構。 級別指定為用於生成文件夾的位數。

  默認情況下，NGINX在NGINX安裝路徑下的client_body_temp文件夾創建臨時文件。 如下例子：

  1. server{
  2. client_body_temp_pathtemp_files 1 2;
  3. }

   

•  

  client_header_buffer_size

  此指令與client_body_buffer_size類似。 它為請求頭分配一個緩沖區。 如果請求頭大小大於指定的緩沖區，則使用large_client_header_buffers指令分配更大的緩沖區。如下例子：

  1. http{
  2. client_header_buffer_size 1m;
  3. }

   

•  

  large_client_header_buffers

  此指令規定了用於讀取大型客戶端請求頭的緩沖區的最大數量和大小。 這些緩沖區僅在缺省緩沖區不足時按需分配。 當處理請求或連接轉換到保持活動狀態時，釋放緩沖區。如下例子：

  1. http{
  2. large_client_header_buffers 4 8k;
  3. }