Я использую этот синтаксис для своего файла конфигурации Nginx /etc/nginx/nginx.conf
, который гласит:
user www-data;
worker_processes 2;
pid /run/nginx.pid;
worker_rlimit_nofile 100000;
events {
worker_connections 2048;
multi_accept on;
}
http {
##
# Basic Settings
##
client_header_buffer_size 2k;
large_client_header_buffers 2 1k;
client_body_buffer_size 10M;
client_max_body_size 10M;
client_body_timeout 12;
client_header_timeout 12;
keepalive_timeout 15;
send_timeout 10;
limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=50r/s;
server {
limit_conn conn_limit_per_ip 10;
limit_req zone=req_limit_per_ip burst=10 nodelay;
}
sendfile on;
tcp_nopush on;
tcp_nodelay on;
types_hash_max_size 2048;
server_tokens off;
# server_names_hash_bucket_size 64;
# server_name_in_redirect off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# Virtual Host Configs
##
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
Блоки серверов моих веб-сайтов включены в: include / etc / nginx / sites-enabled / *;
Сервер, определенный в http
, как показано выше, заменяет блоки server {}
в моих sites-enabled / *
, чтобы защита от DDOS работала должным образом?
Я предполагаю, что вы имеете в виду ngx_http_limit_conn_module и ngx_http_limit_req_module .
Синтаксис: номер зоны limit_3256; [115 По умолчанию: -
Контекст: http, сервер, местоположение
Эти директивы наследуются от предыдущего уровня конфигурации тогда и только тогда, когда на текущем уровне не определены директивы limit_conn.
Таким образом, для limit_conn
вам необходимо поместить его на один уровень выше в http
, чтобы сделать его унаследованным в блоках сервера
.
Синтаксис: limit_req zone = name [burst = number] [nodelay | задержка = число];
По умолчанию: -
Контекст: http, сервер, местоположение
Эти директивы наследуются от предыдущего уровня конфигурации тогда и только тогда, когда на текущем уровне не определены директивы limit_req.
То же самое для limit_req
, поместите его на один уровень выше в http
], чтобы он унаследовал его в блоке server
.
На самом деле существует важное различие между DOS и DDOS атаками. Дополнительный D в DDOS означает распределенный.
Для простых DOS атак может использоваться ваша установка. Однако это действительно зависит от вашего приложения или веб-сайта, где может быть разница между допустимым или ожидаемым вариантом использования и недопустимым или не ожидаемым вариантом использования. Не существует универсального рецепта.
Для смягчения DDOS атак ваша установка не поможет . Такие атаки будут осуществляться с множества разных IP-адресов. Обычно DDOS-атаки должны подавляться на уровне сети и с очень высокой пропускной способностью.