2023-06-22 分類: 網(wǎng)站建設(shè)
相關(guān)報告顯示,黑客每天都在企圖使用新方法發(fā)起 DDoS 攻擊。這使得 DDoS 保護成為服務(wù)器安全的關(guān)鍵一步。在創(chuàng)新互聯(lián),我們幫助我們的香港服務(wù)器租用用戶在其服務(wù)器上實施 DDoS 保護,并提供卓有成效的香港高防服務(wù)器來幫助企業(yè)和開發(fā)者實現(xiàn)全品類 DDoS 攻擊的智能檢測和高效防護。今天,我們將討論幾種 Nginx 服務(wù)器中預(yù)防 DDoS 的不同方式。
眾所周知,DDoS(分布式拒絕服務(wù))攻擊通過使用來自多臺聯(lián)網(wǎng)設(shè)備的過多流量來使您的服務(wù)器系統(tǒng)過載或飽和,從而導(dǎo)致服務(wù)器宕機,網(wǎng)絡(luò)擁塞,您的品牌聲譽受損,財務(wù)損失等等。在創(chuàng)新互聯(lián),我們啟用多種溝通渠道,來協(xié)助用戶實現(xiàn) DDoS 保護。我們的香港服務(wù)器租用服務(wù)支持工程師會檢查包含有關(guān)原始 IP 地址,地理位置等信息的服務(wù)器日志從而找到問題的根源?,F(xiàn)在讓我們看看我們的專用支持工程師使用的不同 Nginx DDoS 預(yù)防方法來緩解這種攻擊。
一、軟件防火墻
Nginx DDoS 預(yù)防的最簡單方法之一是使用 CSF,iptables,UFW,APF 等軟件防火墻。例如,在 iptables 中,我們的托管工程師使用腳本命令限制端口 80 上的連接數(shù)。并且,如果連接數(shù)超過連接限制,則該 IP 將在服務(wù)器中被阻止訪問。同樣,大多數(shù) Web 主機在其 cPanel 服務(wù)器中使用 CSF 防火墻。在這里,我們調(diào)整 CT_LIMIT,CT_BLOCK_TIME,CT_INTERVAL 等參數(shù)來限制連接。同樣,Ubuntu 服務(wù)器具有默認防火墻 UFW(簡單防火墻)。UFW 的默認規(guī)則是拒絕所有傳入連接并允許所有傳出連接。因此,用戶只能在服務(wù)器上啟用所需的端口和 IP,從而減少服務(wù)器暴露于 DDoS 攻擊的風(fēng)險。
二、調(diào)整 Nginx 參數(shù)
我們的支持工程師調(diào)整各種 Nginx 參數(shù)以防止大規(guī)模 DDoS 攻擊,包括:
1.Nginx 工作進程
我們調(diào)整的一個重要參數(shù)是 Nginx 配置文件 /etc/nginx/nginx.conf 中的工作進程數(shù)和連接數(shù)。我們逐步將工作進程和連接調(diào)整為更高的值來處理 DDoS 攻擊。例如,我們通過設(shè)置 Nginx 配置文件,來調(diào)整工作連接,允許每個工作進程處理多達 50000 個連接。最重要的是,我們的支持工程師會在增加這些值之前檢查服務(wù)器資源,因為未優(yōu)化的值可能會破壞整臺香港服務(wù)器。除此之外,我們還使用系統(tǒng)打開文件限制來限制連接數(shù)。換句話說,我們在 /etc/sysctl.conf 中修改參數(shù) fs.file-max。另外,設(shè)定每個用戶的開放文件限制數(shù)。例如在 /etc/security/limits.conf 文件中設(shè)置 Nginx 工作進程的打開文件限制。
2. 限制請求率
速率限制是防止 Nginx 中 DDoS 的好方法之一。它可以限制在特定時間段內(nèi)允許從特定客戶端 IP 地址發(fā)出的請求數(shù)。如果超出此限制,Nginx 會拒絕這些請求。因此,這是我們的托管工程師在服務(wù)器強化過程中調(diào)整的最重要參數(shù)之一。我們調(diào)整 Nginx 配置文件中的 limit_req_zone 指令以限制請求。類似地,我們使用 limit_req 指令來限制與特定位置或文件的連接。
3. 限制連接速率
此外,我們的 Nginx Experts 速率限制了從單個 IP 地址進行的連接數(shù)。換句話說,我們調(diào)整 limit_conn_zone 和 limit_conn 指令以限制每個 IP 地址的連接數(shù)。
4.Nginx 超時參數(shù)
同樣,與服務(wù)器的慢速連接使這些連接長時間保持對服務(wù)器的開放。因此,服務(wù)器無法接受新連接。在這種情況下,我們的技術(shù)支持專家調(diào)整 Nginx 的超時參數(shù),如 client_body_timeout 和 client_header_timeout 較低值。使用 client_body_timeout 指令定義 Nginx 在客戶端主體寫入之間等待的時間。
5. 限制 HTTP 請求大小
同樣,大緩沖區(qū)值或大 HTTP 請求大小使 DDoS 攻擊更容易。因此,我們限制 Nginx 配置文件中的緩沖區(qū)值以減輕 DDoS 攻擊。
6. 限制與后端服務(wù)器的連接
當 Nginx 用作負載均衡器時,我們的托管工程師會調(diào)整 Nginx 參數(shù)以限制每個后端服務(wù)器處理的連接數(shù)。所以,使用 max_conns 指令指定 Nginx 可以為服務(wù)器打開的連接數(shù)。該隊列指令限制時,該組中的所有服務(wù)器已達到連接限制已排隊的請求數(shù)。最后,timeout 指令指定可以在隊列中保留請求的時間。除上述參數(shù)之外,我們還將 Nginx 配置為根據(jù)請求 URL,User-Agent,Referer,Request 標頭等阻止連接。
三、在服務(wù)器上安裝 Fail2ban
Fail2ban 是一款出色的入侵檢測軟件,可以阻止連接到服務(wù)器的可疑 IP。這會掃描服務(wù)器日志以查找可疑訪問權(quán)限并在防火墻中阻止此類 IP。例如,我們創(chuàng)建一個 fail2ban jail /etc/fail2ban/jail.local 并添加相關(guān)代碼來監(jiān)控對 Nginx 的請求數(shù)。這將掃描 Nginx 日志文件并阻止 IP 與服務(wù)器建立過多連接。
四、啟用基于 sysctl 的保護
另外,我們在 Nginx 服務(wù)器上調(diào)整內(nèi)核和系統(tǒng)變量。我們在 /etc/sysctl.conf 文件中啟用 syn cookie,泛洪速率限制,每 IP 限制。最重要的是,我們關(guān)注以下防止 IP 欺騙、允許 TCP SYN cookie 保護等參數(shù)。
五、啟用香港高防服務(wù)器
除 DDoS 預(yù)防之外,我們建議客戶采用創(chuàng)新互聯(lián)香港高防服務(wù)器來部署 Nginx。我們的香港高防服務(wù)器基于智能化的全品類 DDoS 攻擊檢測系統(tǒng)和流量清洗平臺,接入高防線路,可以全天候 24 小時實時保護您的服務(wù)器免受 DDoS 攻擊侵害。我們的香港高防服務(wù)器,根據(jù)攻擊情況,支持自動偵測和秒級觸發(fā)清洗高達 600Gbps 規(guī)模的 DDoS 攻擊,支持壓力測試,支持防御無效退款承諾。
總之,Nginx 節(jié)點中的 DDoS 預(yù)防是確保安全性的重要一步,如果您的服務(wù)正在遭受攻擊,則建議啟用香港高防服務(wù)器。我們在此為您分享 Nginx 服務(wù)器中 DDoS 預(yù)防的基本方法,并時刻準備著為客戶提供 DDoS 攻擊防御技術(shù)支持,希望對您有所幫助。
當前名稱:怎樣保護Nginx服務(wù)器免受DDoS攻擊
URL地址:http://www.rwnh.cn/news18/266218.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站建設(shè)、網(wǎng)站導(dǎo)航、網(wǎng)站維護、ChatGPT、網(wǎng)站改版、建站公司
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容