2022年nginx针对静态页面防CC攻击 .pdf

《2022年nginx针对静态页面防CC攻击 .pdf》由会员分享，可在线阅读，更多相关《2022年nginx针对静态页面防CC攻击 .pdf（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、nginx 针对静态页面防CC攻击一、架构Nginx介绍Nginx 是一款由俄罗斯程序设计师Igor Sysoev所开发轻量级的网页服务器、反向代理服务器以及电子邮件（IMAP/POP3）代理服务器。Nginx的特点Nginx 相较于Apache、lighttpd 具有占有内存少，稳定性高等优势，并且依靠并发能力强，丰富的模块库以及友好灵活的配置而闻名。在 Linux 操作系统下， nginx 使用 epoll 事件模型，得益于此， nginx 在 Linux 操作系统下效率相当高。Nginx的反向代理功能nginx proxy 是 nginx 的重要功能，利用proxy 基本可以实现一个完整

2、的7 层负载均衡，它有这些特色：1、功能强大，性能超强，工作稳定。2、后端转向与业务配置分离，非常灵活。3、可以指定任意IP和端口进行配置，与网络环境是不相干的。4、可以针对后端返回的情况判断，不正常则重新请求另一台主机，并自动剔除不正常的主机。5、可以分配权重，并且分配均匀。6、可以实现多种分配策略。7、上传文件使用异步处理方式，nginx 会先将文件接收下来，然后再转发到后端，这样可以减少后端服务器很多连接。根据 Nginx的特点与反向代理的功能，使之成为静态页面防CC攻击绝佳选择。根据我们以往的经验，一台Q9300、4GB内存的主机，可以轻松防住7 万链接的CC攻击，此时服务器资源占用仍

3、然相当低。Nginx防 CC攻击的架构：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 15 页 - - - - - - - - - keepalived动态负载均衡名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 15 页 - - - - - - - - - 二、服务器配置服务器环境： CentOS 6.3 X64 （注：以下文档，蓝色为配置文件的内

4、容，红色为运行的命令）1、安装系统、编译环境等最小化安装CentOS。因为安装后我们要升级系统补丁，再安装必要组件，所以没必要安装其他组件。安装完后，配置iptables ，打开 80 端口，或者直接关闭iptables 。用 yum update -y升级系统的组件安装编译 Nginx 必要的组件：yum install -y gcc make sendmail pcre pcre-devel openssl openssl-devel nano screen lrzsz wget curl curl-devel sendmail mlocate openssh-clients man pa

5、tch 添加 www 用户组和用户，并且指定www 用户的 shell 为/sbin/nologin groupadd www & useradd -g www -s /sbin/nologin www创建相关的目录mkdir -p /var/log/nginx /var/proxy_temp_dir /var/proxy_cache_dir #touch /var/log/nginx/.log 2、编译 nginx 下载 nginx cd wget http:/nginx.org/download/nginx-1.2.7.tar.gztar zxf nginx-1.2.7.tar.gz 下载

6、 ngx_cache_purge wget -no-check-certificate https:/ -O ngx_cache_purge-master.zip unzip -x ngx_cache_purge-master.zip 下载 nginx-upstream-jvm-route wget http:/nginx-upstream-jvm- -O nginx-upstream-jvm-route-0.1.tar.gz tar zxf nginx-upstream-jvm-route-0.1.tar.gz 进入 nginx 源代码目录cd nginx-1.2.7 打补丁patch -p

7、0 /etc/rc.local启动 nginx /etc/init.d/nginx start名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 15 页 - - - - - - - - - 三、优化1、避免后端服务器出现大文件。通常CC 攻击会连接服务器的大文件，企图用尽服务器的带宽资源，因此，后端服务器不要放置大文件，对于大的图片，应对图片进行切片，切成多块以减小体积。2、后端服务器尽量单独开一个非80 端口（比如24392 ）给前端服务器，如果后端有硬件防火墙，要做直通

8、。3、如果后端服务器负荷仍然大，可以通过修改缓存时间等，提高命中率。4、可以配置nginx 的防攻击模块，对于连接过于频繁的client 进行屏蔽。5、可以对前端服务器进行双网卡捆绑，提高服务器带宽。6、可以多台前端机器，采用keepalived 负载均衡名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 15 页 - - - - - - - - - 四、负载均衡配置注意： 做 keepalived 负载均衡， 交换机必须不能绑定MAC 或 IP，否则 keepalived

9、 无法正常运作。yum -y install kernel-devel yum -y update kernel modprobe ip_vs /内核加载ip_vs 模块lsmod |grep ip_vs /查看是否加载成功。以下请根据实际系统核心修改命令选项：ln -s /usr/src/kernels/2.6.18-308.4.1.el5-i686/ /usr/src/linux /生成一个链接文件cp /usr/src/kernels/2.6.18-308.4.1.el5-i686/include/net/ip_vs.h /usr/include/net/ /这个很重要，否则在安装ipv

10、sadm 的时候会提示缺少*.h 文件wget -c http:/ tar zxvf keepalived-1.2.2.tar.gz vi keepalived-1.2.2/keepalived/libipvs-2.6/ip_vs.h 将#include 放到 #include 的前面cd keepalived-1.2.2 ./configure -prefix=/usr/local/keepalived make make install cp /usr/local/keepalived/sbin/keepalived /usr/sbin/ cp /usr/local/keepalived/

11、etc/sysconfig/keepalived /etc/sysconfig/ cp /usr/local/keepalived/etc/rc.d/init.d/keepalived /etc/init.d/ mkdir /etc/keepalived cd /etc/keepalived/ chkconfig -add keepalived chkconfig keepalived on vi keepalived.conf - 主从配置实例之一注：配置文件里的网络接口、email 、 IP 要根据实际情况填写。! Configuration File for keepalived glo

12、bal_defs notification_email notification_email_from keepalivedkeepalived.org 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 15 页 - - - - - - - - - smtp_server 127.0.0.1 smtp_connect_timeout 30 router_id LVS_DEVEL vrrp_instance VI_1 state MASTER interface eth0

13、virtual_router_id 51 mcast_src_ip 113.105.157.114 priority 100 advert_int 1 authentication auth_type PASS auth_pass wy4nginx virtual_ipaddress 113.105.157.116 之二! Configuration File for keepalived global_defs notification_email notification_email_from smtp_server 127.0.0.1 smtp_connect_timeout 30 ro

14、uter_id LVS_DEVEL vrrp_instance VI_1 state BACKUP interface eth0 virtual_router_id 51 mcast_src_ip 113.105.157.115 priority 100 advert_int 1 authentication auth_type PASS auth_pass wy4nginx virtual_ipaddress 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 15 页

15、- - - - - - - - - 113.105.157.116 - - 热备配置实例主 Nginx 机器之一的Keepalived.conf配置文件如下：! Configuration File for keepalived global_defs notification_email notification_email_from keepalivedkeepalived.org smtp_server 127.0.0.1 smtp_connect_timeout 30 router_id LVS_DEVEL vrrp_instance VI_1 state MASTER interfa

16、ce eth0 virtual_router_id 51 priority 100 advert_int 1 authentication auth_type PASS auth_pass wysnginx virtual_ipaddress 183.60.141.117 vrrp_instance VI_2 state BACKUP interface eth0 virtual_router_id 52 priority 99 advert_int 1 authentication auth_type PASS auth_pass wysnginx virtual_ipaddress 183

17、.60.141.118 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 15 页 - - - - - - - - - 主 Nginx 之二的 keepalivd.conf配置文件如下：! Configuration File for keepalived global_defs notification_email notification_email_from keepalivedkeepalived.org smtp_server 127.0.0.1 smtp_co

18、nnect_timeout 30 router_id LVS_DEVEL vrrp_instance VI_1 state BACKUP interface eth0 virtual_router_id 51 priority 99 advert_int 1 authentication auth_type PASS auth_pass wysnginx virtual_ipaddress 183.60.141.117 vrrp_instance VI_2 state MASTER interface eth0 virtual_router_id 52 priority 100 advert_

19、int 1 authentication auth_type PASS auth_pass wysnginx virtual_ipaddress 183.60.141.118 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 15 页 - - - - - - - - - - 要在 iptables 防火墙添加如下配置-A RH-Firewall-1-INPUT -s ip addr -d 224.0.0.18 -j ACCEPT 启动 keepalived /etc/init.d/keepalived start 查看分配到的虚拟IP 地址ip addr list 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 15 页 - - - - - - - - -