网站nginx配置限制单个IP访问频率，预防DDOS恶意攻击

　　一、简介
　　对于网站来说，尤其是流量较大出名的网站，经常遇到攻击，如DDOS攻击等，虽然有些第三方，如Cloudflare可以挡，但对于动态网站PHP来说，只能挡一部分。这时候需要对于单个IP恶意攻击做出限流。nginx的两个模块可以限流。
　　nginx两个限流模块：
　　连接频率限制，ngxhttplimitconnmodule：官方文档：https：nginx。orgendocshttpngxhttplimitconnmodule。html
　　请求频率限制，ngxhttplimitreqmodule：官方文档：https：nginx。orgendocshttpngxhttplimitreqmodule。html二、两者模块区别
　　首先理解请求和连接，HTTP请求建立在一次TCP连接基础上，一次TCP连接至少产生一次HTTP请求（1次或多次）
　　网上理论很多，根据名字可知：connection是连接，即常说的tcp连接，通过三次握手而建立的一个完整状态机。建立一个连接，必须要三次握手。request是指请求，即http请求，tcp连接是有状态的，而构建在tcp之上的http却是无状态的协议。
　　当然还是看不懂的话，通俗点讲（相对于时间比较）：limitreqzone，在有限的时间内限制，单个IP每秒或者每分钟只能发出多少请求。多的一概不理会。limitconnzone，不限时间，只允许单个IP这么多个连接，或者称为并发。如：设置10个连接，第11个连接时，必须等前面有一个已经完成或者释放后，这个连接才能允许。
　　比如秒杀，抢购，连接频率限制和请求频率限制应该配合使用，使用连接频率限制同一IP同时只能有3个连接，再使用请求频率限制对于同一ip的请求，限制平均速率为5个请求秒，这样比单独只使用一种限制要好很多。
　　比如只使用请求频率限制，可以精确地限制同一ip1秒只能发起5次的http请求，假如同一ip1秒内发起了100000次请求，虽然限制了只有5次成功响应，但是其他的99995次的请求TCP握手建立http连接是不是会消耗服务器资源？所以还需要配合使用。三、配置
　　1、limitreqzone，示例：http｛limitreqzonebinaryremoteaddrzoneallips：10mrate20rs；定义一个名为allips的limitreqzone用来存储session，大小是10M内存，以binaryremoteaddr为key，限制平均每秒的请求为20个，1M能存储16000个状态，rete的值必须为整数，如果限制两秒钟一个请求，可以设置成30rmserver｛location｛限制每ip每秒不超过20个请求，漏桶数burst为5brust的意思就是，如果第1秒、2，3，4秒请求为19个，第5秒的请求为25个是被允许的。但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。nodelay，如果不设置该选项，严格使用平均速率限制请求数，第1秒25个请求时，5个请求放到第2秒执行，设置nodelay，25个请求将在第1秒执行。limitreqzoneallipsburst5nodelay；｝｝｝
　　2、limitconnzone，示例：http｛limitconnzonebinaryremoteaddrzoneaddr：10m；定义一个名为addr的limitreqzone用来存储session，大小是10M内存，以binaryremoteaddr为keynginx1。18以后用limitconnzone替换了limitconn，且只能放在http｛｝代码段server｛location｛limitconnaddr10；连接数限制，并发数设置给定键值的共享内存区域和允许的最大连接数。超出此限制时，服务器将返回503（服务临时不可用）错误。如果区域存储空间不足，服务器将返回503（服务临时不可用）错误｝｝｝
　　3、搭配一起使用http｛。。。。。。limitreqzonebinaryremoteaddrzonereqzone：1mrate20rs；限制连接请求设置，访问内存10M，所有访问ip限制每秒10个请求limitconnzonebinaryremoteaddrzoneaddr：10m；限制连接IP设置。。。。。。server｛listen80；servernameywbj。cc；location｛。。。limitreqzonereqzoneburst5nodelay；limitconnaddr5；。。。｝｝｝四、压力测试工具
　　1、ab命令
　　ab是apache自带的压力测试工具。一般不用额外安装，ab非常实用，它不仅可以对apache服务器进行网站访问压力测试，也可以对或其它类型的服务器进行压力测试。比如nginx、tomcat、IIS等。
　　测试命令abc10n100https：ywbj。ccc10表示并发用户数为10n100表示请求总数为100
　　2、wrk命令
　　需自己安装，地址：https：github。comwgwrk
　　安装gitclonegitgithub。com：wgwrk。git或者自己下载解压cdwrk进入目录makemake编译后在目录可使用wrk命令，先安装make，unzip这些工具。
　　测试命令：wrkt12c100d30shttps：ywbj。cc12线程，100连接，30s时间
　　还有其他压测工具，自行研究