nginx流控请求参数(nginx实现限流)

nginx实现限流

拥堵攻击往往是大量IP地址，每个IP地址少量消耗带宽，最终形成难以区分正常业务与恶意流量而拒绝服务。

渗透攻击不会消耗太大带宽。

长期自外向内的流量消耗，而且集中于某几个IP，不一定就是攻击，首先要分析业务情景。

长期自内向外的流量消耗，可以考虑病毒或者业务调用不合理。

解决方法

于内

使用抓包工具检查大流量所访问的具体业务和访问细节，检查各进程资源消耗情况。

于外

如果是自建机房，则考虑采购DDoS、WAF等设备；如果是托管机房或云服务器，具备一定安全设施，则只需要考虑分析业务。

或自建Nginx，根据业务情景，进行一定的防护和限流。

若是正常业务导致的，则购买CDN。

nginx流量

nginx从1.9.0开始，新增加了一个stream模块，用来实现四层协议的转发、代理或者负载均衡等。比如在内网有一个mysql服务，想暴露到公网上去使用，就可以通过nginx代理的方式通过nginx来进行内网mysql的访问。

可以通过nginx代理的端口访问到内网的mysql服务了。这也直接避免了mysql直接暴露到公网，增加些许的安全。当然，利用stream也可以实现后端服务的负载均衡。

nginx流量分析

Nginx在不依赖第三方模块的前期下，主要的功能有：

①、正向代理

正向代理，是在用户端的。比如需要访问某些国外网站，我们可能需要购买vpn。并且vpn是在我们的用户浏览器端设置的(并不是在远端的服务器设置)，浏览器先访问vpn地址，vpn地址转发请求，并最后将请求结果原路返回来。

②、反向代理

客户端向服务器发送请求时，会首先经过 Nginx 服务器，由服务器将请求分发到相应的 WEB 服务器。正向代理是代理客户端，而反向代理则是代理服务器，Nginx 在提供反向代理服务方面，通过使用正则表达式进行相关配置，采取不同的转发策略，配置相当灵活，而且在配置后端转发请求时，完全不用关心网络环境如何，可以指定任意的IP地址和端口号，或其他类型的连接、请求等。

③、负载均衡

当网站的访问量达到一定程度后，单台服务器不能满足用户的请求时，需要用多台服务器集群可以使用nginx做反向代理。并且多台服务器可以平均分担负载，不会因为某台服务器负载高宕机而某台服务器闲置的情况.

④、动静分离

在Web开发中，通常来说，动态资源其实就是指那些后台资源，而静态资源就是指HTML，JavaScript，CSS，img等文件。一般来说，都需要将动态资源和静态资源分开，将静态资源部署在Nginx上，当一个请求来的时候，如果是静态资源的请求，就直接到nginx配置的静态资源目录下面获取资源，如果是动态资源的请求，nginx利用反向代理的原理，把请求转发给后台应用去处理，从而实现动静分离。在使用前后端分离之后，可以很大程度的提升静态资源的访问速度，同时在开过程中也可以让前后端开发并行可以有效的提高开发时间，也可以有些的减少联调时间。

nginx流量统计

1）DNS-server不需要动

2）负载均衡：通过nginx来保证

3）只暴露一个外网ip，nginx->tomcat之间使用内网访问

4）扩容实时：nginx内部可控，随时增加web-server随时实时扩容

5）能够保证站点层的可用性：任何一台tomcat挂了，nginx可以将流量迁移到其他tomcat

nginx流量监控

TCP 配置是 Nginx 中一个比较关键的属性，它可以控制 Nginx 传输协议。当配置 Nginx 时，需要注意以下几点：

1. Nginx 中的 tcp 配置有三个参数：接收缓冲区大小（rcvbuf）、发送缓冲区大小（sndbuf）和最后一次活动（linger）。

2. 接收缓冲区和发送缓冲区的大小的单位都是字节，且一般都要大于或等于4K，通常情况下，接收缓冲区要大于发送缓冲区。

3. linger 有三个属性，即： on（开启）、off（关闭）和 timeout（超时），当开启时，Nginx 在服务器关闭连接之前，会将发送缓冲区中的未完成数据发送出去，而 timeout 属性则可以设定超时时间，默认超时时间为0，即Nginx不会考虑超时时间。

4. 在配置 Nginx 时，要根据实际情况调整 tcp 参数，以获得最佳性能。