1. 優化Nginx自身配置:限制請求速率與并發連接
Nginx內置的limit_req(請求速率限制)和limit_conn(并發連接限制)模塊是基礎防護手段�,可有效減緩DDoS攻擊的影響����。
2. 配置系統防火墻:過濾異常流量
使用ufw(Uncomplicated Firewall)或iptables過濾無效或惡意流量�,僅允許必要的端口(如HTTP 80���、HTTPS 443����、SSH 22)對外開放�����。
- 使用ufw配置:安裝ufw后(
sudo apt install ufw)���,啟用防火墻(sudo ufw enable)��,允許Nginx流量(sudo ufw allow 'Nginx Full')����,并限制SSH訪問(sudo ufw allow 22/tcp)����。通過sudo ufw status查看規則是否生效�。
- 使用iptables配置:通過命令限制每秒新連接數(
sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT)和每IP最大連接數(sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 5 -j DROP)���,防止大量無效連接耗盡服務器資源�。需保存規則(sudo apt install iptables-persistent�,安裝時選擇“是”保存)�。
3. 部署Fail2Ban:自動封禁惡意IP
Fail2Ban通過監控Nginx日志(如access.log)���,識別頻繁請求����、異常User-Agent等行為����,自動將惡意IP加入防火墻黑名單(如iptables)����,并設置封禁時間(如600秒)�����。
- 安裝Fail2Ban:
sudo apt install fail2ban����。
- 配置Fail2Ban:編輯
/etc/fail2ban/jail.local����,添加Nginx監控規則:[nginx]
enabled = true
filter = nginx
action = iptables-multiport[name=nginx, port="http,https", protocol=tcp]
logpath = /var/log/nginx/access.log
bantime = 600
findtime = 600
maxretry = 3
- 啟動Fail2Ban:
sudo systemctl start fail2ban��,并設置開機自啟(sudo systemctl enable fail2ban)�����。
4. 使用CDN服務:分布式防御與流量清洗
將Nginx服務器置于CDN(如Cloudflare�����、Akamai)后方����,利用CDN的分布式節點吸收和過濾惡意流量(如SYN Flood���、UDP Flood)��,僅將合法流量轉發至源服務器��。CDN還能緩存靜態內容(如圖片���、CSS�����、JS)����,減少源服務器的負載壓力����。配置時需將域名解析至CDN提供的CNAME記錄���,并在CDN控制臺開啟DDoS防護功能(如Cloudflare的“防護中心”)�。
5. 定期更新與監控:提升安全性與響應速度
- 更新系統與Nginx:定期運行
sudo apt update && sudo apt upgrade�,安裝最新的安全補丁���,修復已知漏洞(如Nginx的緩沖區溢出漏洞)�,降低被攻擊的風險��。
- 監控流量與日志:使用工具(如Prometheus+Grafana)實時監控Nginx的請求速率�、連接數�、帶寬等指標���,設置告警閾值(如每秒請求數超過100時觸發告警)�����;定期分析Nginx日志(
access.log�����、error.log)���,識別異常流量模式(如短時間內大量來自同一IP的請求)���,及時采取應對措施�����。
