Rick Nelson首先介绍了DDoS攻击的一些特点,例如攻击的流量通常来源于一些固定的IP地址，每一个IP地址会创建比真实用户多得多的连接和请求；同时 由于流量全部是由机器产生的，其速率要比人类用户高的多。此外，进行攻击的机器其User-Agent头也不是标准的值，Referer头有时也会被设置 成能够与攻击关联起来的值。针对这些特点，Rick Nelson认为Nginx和Nginx Plus有很多能够通过调节或控制流量来应对或者减轻DDoS攻击的特性。

限制请求率
将Nginx和Nginx Plus可接受的入站请求率限制为某个适合真实用户的值。例如，通过下面的配置让一个真正的用户每两秒钟才能访问一次登录页面：

limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m;

server {
    ...
    location /login.html {
        limit_req zone=one;
    ...
    }
}

在该配置中，limit_req_zone指令配置了一个名为one的共享内存zone用来存储$binary_remote_addr的请求状态，location块中/login.html的limit_req指令引用了共享内存zone。

限制连接的数量
将某个客户端IP地址所能打开的连接数限制为真实用户的合理值。例如，限制每一个IP对网站/store部分打开的连接数不超过10个：

limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
    ...
    location /store/ {
        limit_conn addr 10;
        ...
    }
}

该配置中，limit_conn_zone指令配置了一个名为addr的共享内存zone用来存储 $binary_remote_addr的请求，location块中/store/的limit_conn指令引用了共享内存zone，并将最大连接数设置为10.

关闭慢连接
关闭那些一直保持打开同时写数据又特别频繁的连接，因为它们会降低服务器接受新连接的能力。Slowloris就是这种类型的攻击。对此，可以通过client_body_timeout和client_header_timeout指令控制请求体或者请求头的超时时间，例如，通过下面的配置将等待时间控制在5s之内：

server {
    client_body_timeout 5s;
    client_header_timeout 5s;
    ...
}

设置IP黑名单
如果能识别攻击者所使用的客户端IP地址，那么通过deny指令将其屏蔽，让Nginx和Nginx Plus拒绝来自这些地址的连接或请求。例如，通过下面的指令拒绝来自123.123.123.3、123.123.123.5和123.123.123.7的请求：

location / {
    deny 123.123.123.3;
    deny 123.123.123.5;
    deny 123.123.123.7;
    ...
}

设置IP白名单
如果允许访问的IP地址比较固定，那么通过allow和deny指令让网站或者应用程序只接受来自于某个IP地址或者某个IP地址段的请求。例如，通过下面的指令将访问限制为本地网络的一个IP段：

location / {
    allow 192.168.1.0/24;
    deny all;
    ...
}

通过缓存削减流量峰值
通过启用缓存并设置某些缓存参数让Nginx和Nginx Plus吸收攻击所产生的大部分流量峰值。例如，通过proxy_cache_use_stale指令的updating参数告诉Nginx何时需要更新过期的缓存对象，避免因重复发送更新请求对后端服务器产生压力。另外，proxy_cache_key指令定义的键通常会包含嵌入的变量，例如默认的键$scheme$proxy_host$request_uri包含了三个变量，如果它包含$query_string变量，那么攻击者可以通过发送随机的query_string值来耗尽缓存，因此，如果没有特别原因，不要在该键中使用$query_string变量。

阻塞请求
配置Nginx和Nginx Plus阻塞以下类型的请求：

• 以某个特定URL为目标的请求
• User-Agent头中的值不在正常客户端范围之内的请求
• Referer头中的值能够与攻击关联起来的请求
• 其他头中存在能够与攻击关联在一起的值的请求

例如，通过下面的配置阻塞以/foo.php为目标的攻击：

location /foo.php {
    deny all;
}

或者通过下面的配置阻塞已识别出的User-Agent头的值是foo或者bar的DDoS攻击：

location / {
    if ($http_user_agent ~* foo|bar) {
        return 403;
    }
    ...
}

限制对后端服务器的连接数
通常Nginx和Nginx Plus实例能够处理比后端服务器多得多的连接数，因此可以通过Nginx Plus限制到每一个后端服务器的连接数。例如，通过下面的配置限制Nginx Plus和每一台后端服务器之间建立的连接数不多于200个：

upstream website {
    server 192.168.100.1:80 max_conns=200;
    server 192.168.100.2:80 max_conns=200;
    queue 10 timeout=30s;
}

另外，Rick Nelson还提到了如何处理基于范围的攻击和如何处理高负载的问题，以及如何使用Nginx Plus Status模块发现异常的流量模式，定位DDoS攻击。

通过Nginx和Nginx Plus阻止DDoS攻击，首发于服务器安全维护工作室。