2023-06-22 分類: 網(wǎng)站建設(shè)
相關(guān)報(bào)告顯示,黑客每天都在企圖使用新方法發(fā)起 DDoS 攻擊。這使得 DDoS 保護(hù)成為服務(wù)器安全的關(guān)鍵一步。在創(chuàng)新互聯(lián),我們幫助我們的香港服務(wù)器租用用戶在其服務(wù)器上實(shí)施 DDoS 保護(hù),并提供卓有成效的香港高防服務(wù)器來幫助企業(yè)和開發(fā)者實(shí)現(xiàn)全品類 DDoS 攻擊的智能檢測和高效防護(hù)。今天,我們將討論幾種 Nginx 服務(wù)器中預(yù)防 DDoS 的不同方式。
眾所周知,DDoS(分布式拒絕服務(wù))攻擊通過使用來自多臺(tái)聯(lián)網(wǎng)設(shè)備的過多流量來使您的服務(wù)器系統(tǒng)過載或飽和,從而導(dǎo)致服務(wù)器宕機(jī),網(wǎng)絡(luò)擁塞,您的品牌聲譽(yù)受損,財(cái)務(wù)損失等等。在創(chuàng)新互聯(lián),我們啟用多種溝通渠道,來協(xié)助用戶實(shí)現(xiàn) DDoS 保護(hù)。我們的香港服務(wù)器租用服務(wù)支持工程師會(huì)檢查包含有關(guān)原始 IP 地址,地理位置等信息的服務(wù)器日志從而找到問題的根源?,F(xiàn)在讓我們看看我們的專用支持工程師使用的不同 Nginx DDoS 預(yù)防方法來緩解這種攻擊。
一、軟件防火墻
Nginx DDoS 預(yù)防的最簡單方法之一是使用 CSF,iptables,UFW,APF 等軟件防火墻。例如,在 iptables 中,我們的托管工程師使用腳本命令限制端口 80 上的連接數(shù)。并且,如果連接數(shù)超過連接限制,則該 IP 將在服務(wù)器中被阻止訪問。同樣,大多數(shù) Web 主機(jī)在其 cPanel 服務(wù)器中使用 CSF 防火墻。在這里,我們調(diào)整 CT_LIMIT,CT_BLOCK_TIME,CT_INTERVAL 等參數(shù)來限制連接。同樣,Ubuntu 服務(wù)器具有默認(rèn)防火墻 UFW(簡單防火墻)。UFW 的默認(rèn)規(guī)則是拒絕所有傳入連接并允許所有傳出連接。因此,用戶只能在服務(wù)器上啟用所需的端口和 IP,從而減少服務(wù)器暴露于 DDoS 攻擊的風(fēng)險(xiǎn)。
二、調(diào)整 Nginx 參數(shù)
我們的支持工程師調(diào)整各種 Nginx 參數(shù)以防止大規(guī)模 DDoS 攻擊,包括:
1.Nginx 工作進(jìn)程
我們調(diào)整的一個(gè)重要參數(shù)是 Nginx 配置文件 /etc/nginx/nginx.conf 中的工作進(jìn)程數(shù)和連接數(shù)。我們逐步將工作進(jìn)程和連接調(diào)整為更高的值來處理 DDoS 攻擊。例如,我們通過設(shè)置 Nginx 配置文件,來調(diào)整工作連接,允許每個(gè)工作進(jìn)程處理多達(dá) 50000 個(gè)連接。最重要的是,我們的支持工程師會(huì)在增加這些值之前檢查服務(wù)器資源,因?yàn)槲磧?yōu)化的值可能會(huì)破壞整臺(tái)香港服務(wù)器。除此之外,我們還使用系統(tǒng)打開文件限制來限制連接數(shù)。換句話說,我們在 /etc/sysctl.conf 中修改參數(shù) fs.file-max。另外,設(shè)定每個(gè)用戶的開放文件限制數(shù)。例如在 /etc/security/limits.conf 文件中設(shè)置 Nginx 工作進(jìn)程的打開文件限制。
2. 限制請(qǐng)求率
速率限制是防止 Nginx 中 DDoS 的好方法之一。它可以限制在特定時(shí)間段內(nèi)允許從特定客戶端 IP 地址發(fā)出的請(qǐng)求數(shù)。如果超出此限制,Nginx 會(huì)拒絕這些請(qǐng)求。因此,這是我們的托管工程師在服務(wù)器強(qiáng)化過程中調(diào)整的最重要參數(shù)之一。我們調(diào)整 Nginx 配置文件中的 limit_req_zone 指令以限制請(qǐng)求。類似地,我們使用 limit_req 指令來限制與特定位置或文件的連接。
3. 限制連接速率
此外,我們的 Nginx Experts 速率限制了從單個(gè) IP 地址進(jìn)行的連接數(shù)。換句話說,我們調(diào)整 limit_conn_zone 和 limit_conn 指令以限制每個(gè) IP 地址的連接數(shù)。
4.Nginx 超時(shí)參數(shù)
同樣,與服務(wù)器的慢速連接使這些連接長時(shí)間保持對(duì)服務(wù)器的開放。因此,服務(wù)器無法接受新連接。在這種情況下,我們的技術(shù)支持專家調(diào)整 Nginx 的超時(shí)參數(shù),如 client_body_timeout 和 client_header_timeout 較低值。使用 client_body_timeout 指令定義 Nginx 在客戶端主體寫入之間等待的時(shí)間。
5. 限制 HTTP 請(qǐng)求大小
同樣,大緩沖區(qū)值或大 HTTP 請(qǐng)求大小使 DDoS 攻擊更容易。因此,我們限制 Nginx 配置文件中的緩沖區(qū)值以減輕 DDoS 攻擊。
6. 限制與后端服務(wù)器的連接
當(dāng) Nginx 用作負(fù)載均衡器時(shí),我們的托管工程師會(huì)調(diào)整 Nginx 參數(shù)以限制每個(gè)后端服務(wù)器處理的連接數(shù)。所以,使用 max_conns 指令指定 Nginx 可以為服務(wù)器打開的連接數(shù)。該隊(duì)列指令限制時(shí),該組中的所有服務(wù)器已達(dá)到連接限制已排隊(duì)的請(qǐng)求數(shù)。最后,timeout 指令指定可以在隊(duì)列中保留請(qǐng)求的時(shí)間。除上述參數(shù)之外,我們還將 Nginx 配置為根據(jù)請(qǐng)求 URL,User-Agent,Referer,Request 標(biāo)頭等阻止連接。
三、在服務(wù)器上安裝 Fail2ban
Fail2ban 是一款出色的入侵檢測軟件,可以阻止連接到服務(wù)器的可疑 IP。這會(huì)掃描服務(wù)器日志以查找可疑訪問權(quán)限并在防火墻中阻止此類 IP。例如,我們創(chuàng)建一個(gè) fail2ban jail /etc/fail2ban/jail.local 并添加相關(guān)代碼來監(jiān)控對(duì) Nginx 的請(qǐng)求數(shù)。這將掃描 Nginx 日志文件并阻止 IP 與服務(wù)器建立過多連接。
四、啟用基于 sysctl 的保護(hù)
另外,我們在 Nginx 服務(wù)器上調(diào)整內(nèi)核和系統(tǒng)變量。我們在 /etc/sysctl.conf 文件中啟用 syn cookie,泛洪速率限制,每 IP 限制。最重要的是,我們關(guān)注以下防止 IP 欺騙、允許 TCP SYN cookie 保護(hù)等參數(shù)。
五、啟用香港高防服務(wù)器
除 DDoS 預(yù)防之外,我們建議客戶采用創(chuàng)新互聯(lián)香港高防服務(wù)器來部署 Nginx。我們的香港高防服務(wù)器基于智能化的全品類 DDoS 攻擊檢測系統(tǒng)和流量清洗平臺(tái),接入高防線路,可以全天候 24 小時(shí)實(shí)時(shí)保護(hù)您的服務(wù)器免受 DDoS 攻擊侵害。我們的香港高防服務(wù)器,根據(jù)攻擊情況,支持自動(dòng)偵測和秒級(jí)觸發(fā)清洗高達(dá) 600Gbps 規(guī)模的 DDoS 攻擊,支持壓力測試,支持防御無效退款承諾。
總之,Nginx 節(jié)點(diǎn)中的 DDoS 預(yù)防是確保安全性的重要一步,如果您的服務(wù)正在遭受攻擊,則建議啟用香港高防服務(wù)器。我們在此為您分享 Nginx 服務(wù)器中 DDoS 預(yù)防的基本方法,并時(shí)刻準(zhǔn)備著為客戶提供 DDoS 攻擊防御技術(shù)支持,希望對(duì)您有所幫助。
網(wǎng)站題目:怎樣保護(hù)Nginx服務(wù)器免受DDoS攻擊
文章出自:http://www.rwnh.cn/news/266218.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供自適應(yīng)網(wǎng)站、網(wǎng)站建設(shè)、虛擬主機(jī)、企業(yè)網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)、營銷型網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容