技术支持

cdn服务器:怎样保护Nginx服务器免受DDoS攻击
2020-01-14 09:58
来源:云霸天下IDC

cdn服务器:怎样保护Nginx服务器免受DDoS攻击

  相关报告显示,黑客每天都在企图使用新方法发起DDoS攻击。这使得DDoS保护成为服务器安全的关键一步。在,我们帮助我们的香港服务器租用用户在其服务器上实施DDoS保护,并提供卓有成效的香港高防服务器来帮助企业和开发者实现全品类DDoS攻击的智能检测和高效防护。今天,我们将讨论几种Nginx服务器中预防DDoS的不同方式。

  众所周知,DDoS(分布式拒绝服务)攻击通过使用来自多台联网设备的过多流量来使您的服务器系统过载或饱和,从而导致服务器宕机,网络拥塞,您的品牌声誉受损,财务损失等等。在,我们启用多种沟通渠道,来协助用户实现DDoS保护。我们的香港服务器租用服务支持工程师会检查包含有关原始IP地址,地理位置等信息的服务器日志从而找到问题的根源。现在让我们看看我们的专用支持工程师使用的不同NginxDDoS预防方法来缓解这种攻击。

  一、软件防火墙

  NginxDDoS预防的最简单方法之一是使用CSF,iptables,UFW,APF等软件防火墙。例如,在iptables中,我们的托管工程师使用脚本命令限制端口80上的连接数。并且,如果连接数超过连接限制,则该IP将在服务器中被阻止访问。同样,大多数Web主机在其cPanel服务器中使用CSF防火墙。在这里,我们调整CT_LIMIT,CT_BLOCK_TIME,CT_INTERVAL等参数来限制连接。同样,Ubuntu服务器具有默认防火墙UFW(简单防火墙)。UFW的默认规则是拒绝所有传入连接并允许所有传出连接。因此,用户只能在服务器上启用所需的端口和IP,从而减少服务器暴露于DDoS攻击的风险。

  二、调整Nginx参数

  我们的支持工程师调整各种Nginx参数以防止大规模DDoS攻击,包括:

  1.Nginx工作进程

  我们调整的一个重要参数是Nginx配置文件/etc/nginx/nginx.conf中的工作进程数和连接数。我们逐步将工作进程和连接调整为更高的值来处理DDoS攻击。例如,我们通过设置Nginx配置文件,来调整工作连接,允许每个工作进程处理多达50000个连接。最重要的是,我们的支持工程师会在增加这些值之前检查服务器资源,因为未优化的值可能会破坏整台香港服务器。除此之外,我们还使用系统打开文件限制来限制连接数。换句话说,我们在/etc/sysctl.conf中修改参数fs.file-max。另外,设定每个用户的开放文件限制数。例如在/etc/security/limits.conf文件中设置Nginx工作进程的打开文件限制。

  2.限制请求率

  速率限制是防止Nginx中DDoS的最佳方法之一。它可以限制在特定时间段内允许从特定客户端IP地址发出的请求数。如果超出此限制,Nginx会拒绝这些请求。因此,这是我们的托管工程师在服务器强化过程中调整的最重要参数之一。我们调整Nginx配置文件中的limit_req_zone指令以限制请求。类似地,我们使用limit_req指令来限制与特定位置或文件的连接。

  3.限制连接速率

  此外,我们的NginxExperts速率限制了从单个IP地址进行的连接数。换句话说,我们调整limit_conn_zone和limit_conn指令以限制每个IP地址的连接数。

  4.Nginx超时参数

  同样,与服务器的慢速连接使这些连接长时间保持对服务器的开放。因此,服务器无法接受新连接。在这种情况下,我们的技术支持专家调整Nginx的超时参数,如client_body_timeout和client_header_timeout较低值。使用client_body_timeout指令定义Nginx在客户端主体写入之间等待的时间。

  5.限制HTTP请求大小

  同样,大缓冲区值或大HTTP请求大小使DDoS攻击更容易。因此,我们限制Nginx配置文件中的缓冲区值以减轻DDoS攻击。

  6.限制与后端服务器的连接

  当Nginx用作负载均衡器时,我们的托管工程师会调整Nginx参数以限制每个后端服务器处理的连接数。所以,使用max_conns指令指定Nginx可以为服务器打开的连接数。该队列指令限制时,该组中的所有服务器已达到连接限制已排队的请求数。最后,timeout指令指定可以在队列中保留请求的时间。除上述参数之外,我们还将Nginx配置为根据请求URL,User-Agent,Referer,Request标头等阻止连接。

  三、在服务器上安装Fail2ban

  Fail2ban是一款出色的入侵检测软件,可以阻止连接到服务器的可疑IP。这会扫描服务器日志以查找可疑访问权限并在防火墙中阻止此类IP。例如,我们创建一个fail2banjail/etc/fail2ban/jail.local并添加相关代码来监控对Nginx的请求数。这将扫描Nginx日志文件并阻止IP与服务器建立过多连接。

  四、启用基于sysctl的保护

  另外,我们在Nginx服务器上调整内核和系统变量。我们在/etc/sysctl.conf文件中启用syncookie,泛洪速率限制,每IP限制。最重要的是,我们关注以下防止IP欺骗、允许TCPSYNcookie保护等参数。

  五、启用香港高防服务器

  除DDoS预防之外,我们建议客户采用香港高防服务器来部署Nginx。我们的香港高防服务器基于智能化的全品类DDoS攻击检测系统和流量清洗平台,接入高防线路,可以全天候24小时实时保护您的服务器免受DDoS攻击侵害。我们的香港高防服务器,根据攻击情况,支持自动侦测和秒级触发清洗高达600Gbps规模的DDoS攻击,支持压力测试,支持防御无效退款承诺。

  总之,Nginx节点中的DDoS预防是确保安全性的重要一步,如果您的服务正在遭受攻击,则建议启用香港高防服务器。我们在此为您分享Nginx服务器中DDoS预防的基本方法,并时刻准备着为客户提供DDoS攻击防御技术支持,希望对您有所帮助。

  

 

云霸天下IDC服务商为您的网站提供全球IDC资源
在线咨询
专属客服

免费电话:
15243892121