我使用使用Naxsi 模块编译的 Nginx来防止一些漏洞(SQL 注入和跨站点脚本)。现在我需要在这个级别上应用一层穷人的 DDoS 保护。
我读了很多书得出的结论是,推荐了三种方法:Nginx 的两个模块和使用 TCP/HTTP 负载平衡器的选项(如 HAProxy)。我指的模块是testcookie和anddos。显然,您可以结合两者的力量。
不仅从安全角度,而且从性能角度考虑,您会推荐什么?
您会选择哪种方法来防御 Nginx 级别的 DDoS 攻击?
信息安全
ddos
nginx
2021-08-13 02:23:25
2个回答
我还建议使用:
- ngx_http_limit_req_module来限制 RPS,并在突发上限命中时回退到503。它非常适合被利用的僵尸浏览器 DDoS;
- 对匿名用户(可能应用下一个子弹)和目标位置(如果它不是随机的)进行积极缓存,以消除 FastCGI 通道;
- 使用LUA 模块和 bash-fu 的强大功能与 iptables 集成,在系统级别阻止僵尸以防止并发 UDP/SSH/whatever-flood(您可以考虑使用ipset 实用程序来处理 iptables 无法处理的大量僵尸 IP处理速度足够快)。
我只知道Roboo,它似乎是 testcookie-thingie 的先驱。在 http 级别上检测和保护 ddos 并不容易,尤其是。在大容量网站上。
如果可能的话,您可能想要启用相当快的 proxy_cache。当你受到攻击时,可以给一个短的 cache_time 像 1 分钟。