測試

我會簡單的告訴你如何配置Nginx的限制請求模塊并且它是如何保護你的網站，防止你被攻擊與DDOS或是其他基于HTTP的拒絕服務攻擊。

這個測試中，我將樣本頁在保存在Blitz.io（現在是免費服務）命名為about.html,用于測試limit_req指令.

首先，我在Blitz上使用下面的指令，用來發起1075個并發請求并且持續一分鐘，響應超時設置為2分鐘，區域為加州，同時設置了除掉狀態200以外的其他狀態全部為異常狀態，甚至是503都被認為是沒有成功.

-p 1-1075:60 --status 200 -T 2000 -r california http://kbeezie.com/about.html

 還不算壞，對不對? 但如果這是一個php文檔. 很可能有用戶會造成PHP進程的502/504狀態，讓服務器一直崩潰或無響應. 尤其是你使用了沒有任何保護的VPS或者其他廉價服務器，故障率會更高。（原文廣告，此處屏蔽）

當然你可以使用緩存或其他工具來提高服務器性能與響應能力, 就比如你使用WordPress你肯定要使用wordpress caching plugin. da For those type of people we can use the limit request module.

在Nginx中我們創建一個區域http { },我叫他blitz設置每秒5次請求, 最大容納數據量為10MB.我使用$binary_remote_addr當作session變量 讓你自己比$remote_addr的正常訪客可以訪問大于10MB的空間.

然周在服務器中定義上這些規則:

然后重新載入Nginx配置，看一下效果: 

 你會發現現在大于只有285人可以訪問到服務器，每秒請求數為4.75 ,沒有超過我們設置的5次每秒,檢查日志你會發現沒有訪問到的請求都是HTTP 503，訪問到的都是HTTP 200.

使用這樣的設置對于想限制地區訪問是很有幫助的,它也可以應用在所有的php請求上.

PHP 應用請求限制

如果你想限制所有的PHP應用限制，你可以這樣做:

它可以幫你玩意些設置項像加速或減速，以應對突發或無延時需求. 配置項詳情，猛擊這里: HttpLimitReqModule.
注：

你可能注意到上面的圖表測試了1075個用戶請求，這里有個誤導，因為所有的訪問請求都來自與位于加州的同一個IP(50.18.0.223).

我很難實現一個真實的高流量網絡或者DDOS (分布式拒絕服務攻擊).這也就是為什么我們訪問成功的用戶的數量跟IP不是很大. 服務器負載也會影響測試用戶的訪問數或者地區. 使用免費版本你可以最多并發訪問到的用戶數是50個. 當然你可以花每天$49美刀讓1000個用戶訪問你的網站.

如果你有足夠的內存跟帶寬,用單一IP地址測試是很容易的. 用這個工具就可以實現: 高并發量, ab, openload等等. 只不過是在終端界面，沒有UI而已.

當然你要自己測試, 記住要使用status flag，因為Blitz會在5秒左右后響應訪問請求.

更好的替換方案

這里不會深入講解更多細節, 如果你認真的想阻止攻擊你服務器的DDOS或multi-service attack，還有其他很棒的軟件工具像 iptables (linux), pf (packet filter for BSD) , 或者你的服務器提供硬件的話，你可以使用你的硬件防火墻 . 上述的限制模塊只會阻止通過HTTP請求過來的洪水攻擊，它不會阻止ping包洪水攻擊或者其他的漏洞，對于這些情況你可以關閉不需要的服務和不需要的端口，以防止別人的突破.

舉個例子,我的服務器對外網公開的端口只有HTTP/HTTPS和SSH. 像MySQL這些服務之綁定本地連接. 也可以將一些通用服務設置成不常用的端口上,這樣就不會被嗅探器(iptables/pf會對這種情況有幫助).