nginx封禁IP--HttpLimitReqModule
1.使用方法(原文 http://www.nginx.cn/446.html)http{
...
#定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
#以$binary_remote_addr 为key,限制平均每秒的请求为20个,
#1M能存储16000个状态,rete的值必须为整数,
#如果限制两秒钟一个请求,可以设置成30r/m
limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
...
server{
...
location{
...
#限制每ip每秒不超过20个请求,漏桶数burst为5
#brust的意思就是,如果第1秒、2,3,4秒请求为19个,
#第5秒的请求为25个是被允许的。
#但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。
#nodelay,如果不设置该选项,严格使用平均速率限制请求数,
#第1秒25个请求时,5个请求放到第2秒执行,
#设置nodelay,25个请求将在第1秒执行。
limit_req zone=allips burst=5 nodelay;
...{}
}
...
}
...
}
2.计算当前最大允许请求数
已知:rate=a r/s(每隔1/a秒一次) burst=b(b1为上一个请求使用剩余的b,n为b的最大值。上述例子中设定的burst=5,则n=5) t(s)为距离上次请求的间隔时间。
可以求出当前时刻,最大请求数q,总结公式如下:
http://124.205.19.150/wiki/download/attachments/13206906/20130625095726.png?version=1&modificationDate=1372127562000
关于rate与burst使用与验证
rate定义允许请求数严格按照间隔秒数通过,如:10r/s==间隔0.1秒允许下一次请求,再如:20r/m==间隔3秒允许下一次请求。
burst是一个突发值,但是这个突发值是使用之前未使用的请求数,如果用完,还是严格按照之前定义的rate来计算允许的请求。如果在相应的时间间隔内没有请求,则恢复相应的突发值。
测试验证过程:设置rate=20r/m(1/3r/s),burst=5。
测试用例1:第一次发起7次请求,根据上述公式可以计算出q=6,则失败一个,b1=0。间隔9秒(t=9),此时b计算得出=2,第二次发起6次请求,计算得出q=3,b1=0。间隔12秒(t=12),b=3,第三次发起6次请求,q=4。
命令:ab -n 7 http://。。。 |grep requests;sleep 9;ab -n 6 http://。。。\|grep requests;sleep 12;ab -n 6 http://。。。\|grep requests
结果:
Complete requests: 7
Failed requests: 1
...
Complete requests: 6
Failed requests: 3
...
Complete requests: 6
Failed requests: 2
测试用例2:(测试b的累积与使用)
与第一个测试不同点在于第二次的请求数变为2。
第一次b=5,q=6,b1=0。第二次b=2,q=3但是只有2个请求,所以b1=1。第三次计算得出b=4,q=5。命令:ab -n 6http://。。。 |grep requests;sleep 9;ab -n 2 http://。。。\|grep requests;sleep 12;ab -n 6 http://。。。\|grep requests
结果:
Complete requests: 6 Failed requests: 0
... Complete requests: 2 Failed requests: 0
... Complete requests: 6 Failed requests: 1
上述用例基本验证了推出公式的正确性。
页:
[1]