当前位置: 开发笔记 > 后端 > 正文

Nginx服务器全局变量和CC攻击防御设置

作者：123sdf87_768 | 来源：互联网 | 2014-05-28 09:40

经常需要配置Nginx，其中有许多以$开头的变量，经常需要查阅nginx所支持的变量。可能是对Ngixn资源不熟悉，干脆就直接读源码，分析出支持的变量。Nginx支持的http变量实现在ngx_http_variables.c的ngx_http_core_variables存储实现：ngx_http_core

经常需要配置Nginx ，其中有许多以 $ 开头的变量，经常需要查阅nginx 所支持的变量。
可能是对 Ngixn资源不熟悉，干脆就直接读源码，分析出支持的变量。
Nginx支持的http变量实现在 ngx_http_variables.c 的 ngx_http_core_variables存储实现：
ngx_http_core_variables
1 static ngx_http_variable_t ngx_http_core_variables[] = {

  2
  3     { ngx_string("http_host"), NULL, ngx_http_variable_header,
  4       offsetof(ngx_http_request_t, headers_in.host), 0, 0 },
  5
  6     { ngx_string("http_user_agent"), NULL, ngx_http_variable_header,
  7       offsetof(ngx_http_request_t, headers_in.user_agent), 0, 0 },
  8
  9     { ngx_string("http_referer"), NULL, ngx_http_variable_header,
10       offsetof(ngx_http_request_t, headers_in.referer), 0, 0 },
11
12 #if (NGX_HTTP_GZIP)
13     { ngx_string("http_via"), NULL, ngx_http_variable_header,
14       offsetof(ngx_http_request_t, headers_in.via), 0, 0 },
15 #endif
16
17 #if (NGX_HTTP_PROXY || NGX_HTTP_REALIP)
18     { ngx_string("http_x_forwarded_for"), NULL, ngx_http_variable_header,
19       offsetof(ngx_http_request_t, headers_in.x_forwarded_for), 0, 0 },
20 #endif
21
22     { ngx_string("http_COOKIE"), NULL, ngx_http_variable_headers,
23       offsetof(ngx_http_request_t, headers_in.COOKIEs), 0, 0 },
24
25     { ngx_string("content_length"), NULL, ngx_http_variable_header,
26       offsetof(ngx_http_request_t, headers_in.content_length), 0, 0 },
27
28     { ngx_string("content_type"), NULL, ngx_http_variable_header,
29       offsetof(ngx_http_request_t, headers_in.content_type), 0, 0 },
30
31     { ngx_string("host"), NULL, ngx_http_variable_host, 0, 0, 0 },
32
33     { ngx_string("binary_remote_addr"), NULL,
34       ngx_http_variable_binary_remote_addr, 0, 0, 0 },
35
36     { ngx_string("remote_addr"), NULL, ngx_http_variable_remote_addr, 0, 0, 0 },
37
38     { ngx_string("remote_port"), NULL, ngx_http_variable_remote_port, 0, 0, 0 },
39
40     { ngx_string("server_addr"), NULL, ngx_http_variable_server_addr, 0, 0, 0 },
41
42     { ngx_string("server_port"), NULL, ngx_http_variable_server_port, 0, 0, 0 },
43
44     { ngx_string("server_protocol"), NULL, ngx_http_variable_request,
45       offsetof(ngx_http_request_t, http_protocol), 0, 0 },
46
47     { ngx_string("scheme"), NULL, ngx_http_variable_scheme, 0, 0, 0 },
48
49     { ngx_string("request_uri"), NULL, ngx_http_variable_request,
50       offsetof(ngx_http_request_t, unparsed_uri), 0, 0 },
51
52     { ngx_string("uri"), NULL, ngx_http_variable_request,
53       offsetof(ngx_http_request_t, uri),
54       NGX_HTTP_VAR_NOCACHEABLE, 0 },
55
56     { ngx_string("document_uri"), NULL, ngx_http_variable_request,
57       offsetof(ngx_http_request_t, uri),
58       NGX_HTTP_VAR_NOCACHEABLE, 0 },
59
60     { ngx_string("request"), NULL, ngx_http_variable_request_line, 0, 0, 0 },
61
62     { ngx_string("document_root"), NULL,
63       ngx_http_variable_document_root, 0, NGX_HTTP_VAR_NOCACHEABLE, 0 },
64
65     { ngx_string("realpath_root"), NULL,
66       ngx_http_variable_realpath_root, 0, NGX_HTTP_VAR_NOCACHEABLE, 0 },
67
68     { ngx_string("query_string"), NULL, ngx_http_variable_request,
69       offsetof(ngx_http_request_t, args),
70       NGX_HTTP_VAR_NOCACHEABLE, 0 },
71
72     { ngx_string("args"),
73       ngx_http_variable_request_set,
74       ngx_http_variable_request,
75       offsetof(ngx_http_request_t, args),
76       NGX_HTTP_VAR_CHANGEABLE|NGX_HTTP_VAR_NOCACHEABLE, 0 },
77
78     { ngx_string("is_args"), NULL, ngx_http_variable_is_args,
79       0, NGX_HTTP_VAR_NOCACHEABLE, 0 },
80
81     { ngx_string("request_filename"), NULL,
82       ngx_http_variable_request_filename, 0,
83       NGX_HTTP_VAR_NOCACHEABLE, 0 },
84
85     { ngx_string("server_name"), NULL, ngx_http_variable_server_name, 0, 0, 0 },
86
87     { ngx_string("request_method"), NULL,
88       ngx_http_variable_request_method, 0,
89       NGX_HTTP_VAR_NOCACHEABLE, 0 },
90
91     { ngx_string("remote_user"), NULL, ngx_http_variable_remote_user, 0, 0, 0 },
92
93     { ngx_string("body_bytes_sent"), NULL, ngx_http_variable_body_bytes_sent,
94       0, 0, 0 },
95
96     { ngx_string("request_completion"), NULL,
97       ngx_http_variable_request_completion,
98       0, 0, 0 },
99
100     { ngx_string("request_body"), NULL,
101       ngx_http_variable_request_body,
102       0, 0, 0 },
103
104     { ngx_string("request_body_file"), NULL,
105       ngx_http_variable_request_body_file,
106       0, 0, 0 },
107
108     { ngx_string("sent_http_content_type"), NULL,
109       ngx_http_variable_sent_content_type, 0, 0, 0 },
110
111     { ngx_string("sent_http_content_length"), NULL,
112       ngx_http_variable_sent_content_length, 0, 0, 0 },
113
114     { ngx_string("sent_http_location"), NULL,
115       ngx_http_variable_sent_location, 0, 0, 0 },
116
117     { ngx_string("sent_http_last_modified"), NULL,
118       ngx_http_variable_sent_last_modified, 0, 0, 0 },
119
120     { ngx_string("sent_http_connection"), NULL,
121       ngx_http_variable_sent_connection, 0, 0, 0 },
122
123     { ngx_string("sent_http_keep_alive"), NULL,
124       ngx_http_variable_sent_keep_alive, 0, 0, 0 },
125
126     { ngx_string("sent_http_transfer_encoding"), NULL,
127       ngx_http_variable_sent_transfer_encoding, 0, 0, 0 },
128
129     { ngx_string("sent_http_cache_control"), NULL, ngx_http_variable_headers,
130       offsetof(ngx_http_request_t, headers_out.cache_control), 0, 0 },
131
132     { ngx_string("limit_rate"), ngx_http_variable_request_set_size,
133       ngx_http_variable_request_get_size,
134       offsetof(ngx_http_request_t, limit_rate),
135       NGX_HTTP_VAR_CHANGEABLE|NGX_HTTP_VAR_NOCACHEABLE, 0 },
136
137     { ngx_string("nginx_version"), NULL, ngx_http_variable_nginx_version,
138       0, 0, 0 },
139
140     { ngx_string("hostname"), NULL, ngx_http_variable_hostname,
141       0, 0, 0 },
142
143     { ngx_string("pid"), NULL, ngx_http_variable_pid,
144       0, 0, 0 },
145
146     { ngx_null_string, NULL, NULL, 0, 0, 0 }
147 };
把这些变量提取下，总结如下：

nginx防DDOS攻击的简单配置
nginx本身就有防DDOS攻击这方面的模块ngx_http_limit_req_module和ngx_http_limit_conn_module。
一、基本介绍
1.ngx_http_limit_req_module
配置格式及说明：
设置一个缓存区保存不同key的状态，这里的状态是指当前的过量请求数。而key是由variable指定的，是一个非空的变量，我们这里使用$binary_remote_addr，表示源IP为key值。
limit_req_zone $variable zOne=name:size rate=rate;
　　指定要进行限制的缓存区和最大的请求到达后有多少个请求放入延迟队列（其它的直接丢弃）。如果不希望请求数达到上限而被延迟，就需要使用nodelay。
limit_req zOne=name [burst=number] [nodelay];
例子：
缓存区为10M，请求限制为每秒1次，延迟队列为5
http {

    limit_req_zone $binary_remote_addr zOne=one:10m rate=1r/s;
    ...
    server {
        ...
        location /search/ {
            limit_req zOne=one burst=5;
        }
}
2.ngx_http_limit_conn_module

　　配置格式及说明：
　　设置一个缓存区保存不同key的状态。我们这里使用源IP来作为key，以此限制每个源IP的链接数
limit_conn_zone $binary_remote_addr zOne=addr:10m;
　　指定限制的缓存区，并指定每个key的链接个数
limit_conn zone number;
　　例子：
http {

    limit_conn_zone $binary_remote_addr zOne=addr:10m;
    ...
    server {
        ...
        location /download/ {
            limit_conn addr 1;
        }
}

二、实际应用

如果作为代理服务器，我们需要限制每个用户的请求速度和链接数量，但是，由于一个页面有多个子资源，如果毫无选择的都进行限制，那就会出现很多不必要的麻烦，如：一个页面有40个子资源，那么如果想让一个页面完整的显示，就需要将请求速度和连接数都调整到40，以此达到不阻塞用户正常请求，而这个限制，对服务器性能影响很大，几百用户就能把一台nginx的处理性能拉下来。
所以我们需要制定哪些请求是需要进行限制的，如html页面；哪些是不需要限制的，如css、js、图片等，这样就需要通过配置对应的location进一步细化。
我们不对css、js、gif、png，jpg等进行连接限制，而对除此之外的链接进行限制

http {

    limit_conn_zone $binary_remote_addr zOne=addr:10m;
    limit_req_zone $binary_remote_addr zOne=one:10m rate=5r/s;
    ...
    server {
        ...
       location ~ .*\.(gif|png|css|js|icon)$ {
            proxy_set_header Host $http_host;
            proxy_set_header X-Real_IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
        location ~* .*\.(jpeg|jpg|JPG)$ {
            proxy_set_header Host $http_host;
            proxy_set_header X-Real_IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #    image_filter resize 480 -;
        #    image_filter_jpeg_quality 50;
        #    image_filter_sharpen 10;
        #    image_filter_buffer 4M;
        }
        location / {
            proxy_set_header Host $http_host;
            proxy_set_header X-Real_IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            #limit
            limit_conn addr 3;
            limit_req zOne=one burst=5;
        }
}
Location配置简单介绍：

语法规则： location [=|~|~*|^~] /uri/ { … }
= 开头表示精确匹配
^~ 开头表示uri以某个常规字符串开头，理解为匹配 url路径即可。nginx不对url做编码，因此请求为/static/20%/aa，可以被规则^~ /static/ /aa匹配到（注意是空格）。
~ 开头表示区分大小写的正则匹配
~* 开头表示不区分大小写的正则匹配
!~和!~*分别为区分大小写不匹配及不区分大小写不匹配的正则
/ 通用匹配，任何请求都会匹配到。

推荐阅读

cache
一句话解决高并发的核心原则

本文介绍了解决高并发的核心原则，即将用户访问请求尽量往前推，避免访问CDN、静态服务器、动态服务器、数据库和存储，从而实现高性能、高并发、高可扩展的网站架构。同时提到了Google的成功案例，以及适用于千万级别PV站和亿级PV网站的架构层次。 ... [详细]

蜡笔小新 2023-12-12 10:56:24
ftp
Nginx使用AWStats日志分析的步骤及注意事项

本文介绍了在Centos7操作系统上使用Nginx和AWStats进行日志分析的步骤和注意事项。通过AWStats可以统计网站的访问量、IP地址、操作系统、浏览器等信息，并提供精确到每月、每日、每小时的数据。在部署AWStats之前需要确认服务器上已经安装了Perl环境，并进行DNS解析。 ... [详细]

蜡笔小新 2023-12-14 19:42:01
nginx
【译】发送表单数据

这是原文链接：sendingformdata许多情况下，我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单，但是 ... [详细]

蜡笔小新 2023-12-14 16:19:10
timeout
ABAP开发发送邮件程序的配置和代码整理

本文介绍了通过ABAP开发往外网发邮件的需求，并提供了配置和代码整理的资料。其中包括了配置SAP邮件服务器的步骤和ABAP写发送邮件代码的过程。通过RZ10配置参数和icm/server_port_1的设定，可以实现向Sap User和外部邮件发送邮件的功能。希望对需要的开发人员有帮助。摘要长度：184字。 ... [详细]

蜡笔小新 2023-12-13 15:50:17
php
lua语言闭包、模式匹配、日期、编译、模块的特性及应用

本文介绍了lua语言中闭包的特性及其在模式匹配、日期处理、编译和模块化等方面的应用。lua中的闭包是严格遵循词法定界的第一类值，函数可以作为变量自由传递，也可以作为参数传递给其他函数。这些特性使得lua语言具有极大的灵活性，为程序开发带来了便利。 ... [详细]

蜡笔小新 2023-12-14 18:18:21
php
VScode格式化文档换行或不换行的设置方法

本文介绍了在VScode中设置格式化文档换行或不换行的方法，包括使用插件和修改settings.json文件的内容。详细步骤为：找到settings.json文件，将其中的代码替换为指定的代码。 ... [详细]

蜡笔小新 2023-12-14 17:15:38
nginx
Nginx使用（server参数配置）

本文介绍了Nginx的使用，重点讲解了server参数配置，包括端口号、主机名、根目录等内容。同时，还介绍了Nginx的反向代理功能。 ... [详细]

蜡笔小新 2023-12-14 17:08:34
上传
基于layUI的图片上传前预览功能的2种实现方式

本文介绍了基于layUI的图片上传前预览功能的两种实现方式：一种是使用blob+FileReader，另一种是使用layUI自带的参数。通过选择文件后点击文件名，在页面中间弹窗内预览图片。其中，layUI自带的参数实现了图片预览功能。该功能依赖于layUI的上传模块，并使用了blob和FileReader来读取本地文件并获取图像的base64编码。点击文件名时会执行See()函数。摘要长度为169字。 ... [详细]

蜡笔小新 2023-12-14 17:06:58
上传
Java实战之电影在线观看系统的实现

本文介绍了Java实战之电影在线观看系统的实现过程。首先对项目进行了简述，然后展示了系统的效果图。接着介绍了系统的核心代码，包括后台用户管理控制器、电影管理控制器和前台电影控制器。最后对项目的环境配置和使用的技术进行了说明，包括JSP、Spring、SpringMVC、MyBatis、html、css、JavaScript、JQuery、Ajax、layui和maven等。 ... [详细]

蜡笔小新 2023-12-14 15:52:03
php
Java实现大数乘法（分治算法）

本文介绍了使用Java实现大数乘法的分治算法，包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]

蜡笔小新 2023-12-14 15:43:50
base64
Webpack5内置处理图片资源的配置方法

本文介绍了在Webpack5中处理图片资源的配置方法。在Webpack4中，我们需要使用file-loader和url-loader来处理图片资源，但是在Webpack5中，这两个Loader的功能已经被内置到Webpack中，我们只需要简单配置即可实现图片资源的处理。本文还介绍了一些常用的配置方法，如匹配不同类型的图片文件、设置输出路径等。通过本文的学习，读者可以快速掌握Webpack5处理图片资源的方法。 ... [详细]

蜡笔小新 2023-12-14 15:39:51
php
HDU 2372 El Dorado（DP）的最长上升子序列长度求解方法

本文介绍了解决HDU 2372 El Dorado问题的一种动态规划方法，通过循环k的方式求解最长上升子序列的长度。具体实现过程包括初始化dp数组、读取数列、计算最长上升子序列长度等步骤。 ... [详细]

蜡笔小新 2023-12-14 15:08:18
h2
CSS3选择器的使用方法详解，提高Web开发效率和精准度

本文详细介绍了CSS3新增的选择器方法，包括属性选择器的使用。通过CSS3选择器，可以提高Web开发的效率和精准度，使得查找元素更加方便和快捷。同时，本文还对属性选择器的各种用法进行了详细解释，并给出了相应的代码示例。通过学习本文，读者可以更好地掌握CSS3选择器的使用方法，提升自己的Web开发能力。 ... [详细]

蜡笔小新 2023-12-14 14:37:52
php
Alink回归预测的不完善问题及期待

本文讨论了Alink回归预测的不完善问题，指出目前主要针对Python做案例，对其他语言支持不足。同时介绍了pom.xml文件的基本结构和使用方法，以及Maven的相关知识。最后，对Alink回归预测的未来发展提出了期待。 ... [详细]

蜡笔小新 2023-12-14 14:25:33
php
求解hdu 1003 java题目的动态规划优化方法

本文讨论了如何优化解决hdu 1003 java题目的动态规划方法，通过分析加法规则和最大和的性质，提出了一种优化的思路。具体方法是，当从1加到n为负时，即sum(1,n)sum(n,s)，可以继续加法计算。同时，还考虑了两种特殊情况：都是负数的情况和有0的情况。最后，通过使用Scanner类来获取输入数据。 ... [详细]

蜡笔小新 2023-12-14 13:11:00

123sdf87_768

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章