Nginx服务器如何保护免受DDoS攻击?

作者:港云互联 时间:2019-08-08

相关报告显示,黑客每天都在尝试使用新方法发起DDoS攻击。这使得DDoS保护成为服务器安全的关键步骤。在香港巨网互联,我们帮助香港服务器租用用户在其服务器上实施DDoS保护,并提供有效的香港高防服务器,帮助企业和开发人员实现智能检测,有效保护所有类别的DDoS攻击。今天,我们将讨论在几个Nginx服务器中防止DDoS的不同方法。

 

众所周知,DDoS(分布式拒绝服务)通过使用来自多个联网设备的过多流量来控制服务器系统过载或饱和,从而导致服务器停机,网络拥塞,品牌声誉受损,财务损失等等。等等。在香港巨网互联,我们启用各种沟通渠道,帮助用户实现DDoS保护。我们的香港服务器租赁服务支持工程师会检查包含有关原始IP地址,地理位置等信息的服务器日志,以查找问题的根源。现在让我们来看看我们的专业支持工程师用来缓解这种攻击的不同Nginx DDoS预防方法。

 DDOS攻击

软件防火墙

 

防止Nginx DDoS的最简单方法之一是使用软件防火墙,如CSF,iptables,UFW和APF。例如,在iptables中,我们的托管工程师使用脚本命令来限制端口80上的连接数。此外,如果连接数超过连接限制,将阻止IP在服务器中访问。同样,大多数Web主机在其cPanel服务器中使用CSF防火墙。在这里,我们调整CT_LIMIT,CT_BLOCK_TIME,CT_INTERVAL和其他参数来限制连接。同样,Ubuntu服务器有一个默认的防火墙UFW(简单的防火墙)。 UFW的默认规则是拒绝所有传入连接并允许所有传出连接。因此,用户只能在服务器上启用所需的端口和IP,从而降低服务器遭受DDoS攻击的风险。

 

调整Nginx参数

 

我们的支持工程师调整各种Nginx参数以防止大规模DDoS攻击,包括:

 

Nginx工作流程

 

我们调整的一个重要参数是Nginx配置文件/etc/nginx/nginx.conf中的工作进程和连接数。我们逐渐调整工作进程和连接到更高的值以处理DDoS攻击。例如,我们设置Nginx配置文件来调整工作连接,允许每个工作进程处理多达50,000个连接。最重要的是,我们的支持工程师会在添加这些值之前检查服务器资源,因为未优化的值会损坏整个香港服务器。除此之外,我们还使用系统打开文件限制来限制连接数。换句话说,我们在/etc/sysctl.conf中修改参数fs.file-max。另外,设置每个用户的打开文件限制数。例如,在/etc/security/limits.conf文件中设置Nginx工作进程的打开文件限制。

 

限制请求率

 

速率限制是防止Nginx中DDoS的最佳方法之一。它限制在特定时间段内允许从特定客户端IP地址发送的请求数。如果超出此限制,Nginx将拒绝这些请求。因此,这是我们的托管工程师在服务器强化过程中调整的最重要参数之一。我们调整Nginx配置文件中的limit_req_zone指令以限制请求。同样,我们使用limit_req指令限制与特定位置或文件的连接。

 

限制连接速率

 

此外,我们的Nginx Experts速率限制了从单个IP地址进行的连接数。换句话说,我们调整limit_conn_zone和limit_conn指令以限制每个IP地址的连接数。

 

Nginx超时参数

 

同样,与服务器的慢速连接会使这些连接长时间保持对服务器的开放。因此,服务器无法接受新连接。在这种情况下,我们的技术支持专家会调整Nginx的超时参数,例如client_body_timeout和client_header_timeout。使用client_body_timeout指令定义Nginx在客户端正文写入之间等待的时间。

 

限制HTTP请求的大小

 

同样,大缓冲区值或大HTTP请求大小使DDoS攻击更容易。因此,我们限制Nginx配置文件中的缓冲区值以减轻DDoS攻击。

 

限制与后端服务器的连接

 

Nginx用作负载均衡器时,我们的托管工程师会调整Nginx参数以限制每个后端服务器处理的连接数。因此,使用max_conns指令指定Nginx可以为服务器打开的连接数。当此队列指令受限时,组中的所有服务器都已达到连接限制已排队的请求数。最后,timeout指令指定可以在队列中保留请求的时间。除了上述参数之外,我们还将Nginx配置为根据请求URL,User-Agent,Referer,Request标头等阻止连接。

 

在服务器上安装Fail2ban

 

Fail2ban是一款优秀的入侵检测软件,可阻止与服务器的可疑IP连接。这会扫描服务器日志以查找可疑访问权限并在防火墙中阻止此类IP。例如,我们创建一个fail2ban jail /etc/fail2ban/jail.local并添加代码来监控对Nginx的请求数。这将扫描Nginx日志文件并防止IP与服务器建立太多连接。

 

启用基于sysctl的保护

 

另外,我们在Nginx服务器上调整内核和系统变量。我们在/etc/sysctl.conf文件中启用了syn cookie,洪水率限制,每IP限制。最重要的是,我们专注于以下参数以防止IP欺骗,允许TCP SYN cookie保护等。

 

启用香港高安全性服务器

 

除了DDoS预防,我们建议客户使用香港巨网互联香港高防御服务器部署Nginx。我们的香港高防服务器基于智能,一流的DDoS攻击检测系统和流量清理平台,可连接到高防线,并保护您的服务器免受每周7天,每天24小时的DDoS攻击。我们的香港高防服务器支持基于攻击条件的高达600Gbps的DDoS攻击的自动检测和二级触发清除,支持压力测试,并支持防止无效退款承诺。

 

  总之,Nginx节点中的DDoS预防是确保安全性的重要一步。如果您的服务受到攻击,建议启用香港高防御服务器。我们在此分享Nginx服务器中DDoS预防的基础知识,我们随时准备为客户提供DDoS攻击防御技术支持,希望对您有所帮助。


新人注册,即送价值满880元现金劵

立即注册>>
客服 电话 反馈 活动 回顶部

服务热线

+852-5764-9835

1对1贴心服务,7X24小时热线