Nginx 能防一般的 DDOS 攻击吗？

HTTP 配置：
limit_req_zone $binary_remote_addr zone=allips:10m rate=50r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn_zone $server_name zone=server:10m;

SERVER 配置：
location / {
limit_conn addr 10;
limit_conn server 30;
limit_req zone=allips burst=20 nodelay;
try_files $uri $uri/ /index.php$is_args$args;
}

在不影响正常请求的情况下，有没什么好的配置方法？

Daylight1993

2021-09-28 17:46:38 +08:00

ddos 不是打你服务的，是打你的 ip 。ddos 只能靠机房带宽来抗的。

Daylight1993

2021-09-28 17:47:17 +08:00

哪怕你服务器关机了，照样把你的 ip 打到黑洞里去。

x86

2021-09-28 17:47:43 +08:00

$$$才能防 DDOS

keepeye

2021-09-28 17:50:57 +08:00

你这是防 cc 吧

Aluhao

2021-09-28 17:51:07 +08:00

@x86 那只能是花钱买高防的服务器呀？

hadesy

2021-09-28 18:27:04 +08:00

DDos 也分 L3 和 L7，L3 还是得靠厂商上层网络流量防护，有时候流量还没到你机器就被黑洞了

netnr

2021-09-28 18:46:11 +08:00

先接住再拒绝，接不住谈何拒绝

yanzhiling2001

2021-09-28 18:48:22 +08:00

有很多 ddos 攻击超出机房防御阈值，机房直接把小鸡空路由，丢黑洞里，nginx 都发挥不上用途。

westoy

2021-09-28 18:57:33 +08:00

这等于你穿了件加强铠想去挡洪水......哟，还真是洪水.....

eason1874

2021-09-28 19:29:37 +08:00

DDOS 是用海量请求把你的服务器带宽、计算资源耗尽，根本不在乎你返回什么内容，脱离服务器配置谈防御没有意义。

Nginx 根据 IP 限流的前提是拿到访问者的 IP，DDOS 也只需要你接受 IP 报就完事了，它用无数的 IP 报把你带宽打满，正常用户都挤不进来。

防 DDOS 靠机房，Nginx 本身只能简单防下 CC 频繁请求。

sggggy

2021-09-28 19:34:11 +08:00

前几天游戏开服，黑客不讲武德，一波操作 2000W 并发连接，好在 AWS 很讲武德的，很快啊，防住，防住了大部分，放进来 50W 的连接请求，服务器命硬没直接跪地，撑过去了。

yogogo

2021-09-28 21:16:29 +08:00

@sggggy AWS 还是很稳的，就是贵

Rocketer

2021-09-28 22:52:27 +08:00

@sggggy AWS 是自带高防，不用专门买么？

sggggy

2021-09-29 08:01:35 +08:00

@Rocketer ddos 不用买原生抗 d，高级版 ddos 其实是买人工护航和 vip 支持服务，一般用不上。waf 的和国内差不多，要额外买，和国内不一样的是需要一些个性化配置配置。google cloud 也是亚马逊这个模式，实际使用目前还没有深入，还在了解。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/804965

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.