すこぶる.net

技術系備忘録など

nginx

【Nginx】DoS対策_limit_req_zone

投稿日:2021年2月17日 更新日:

Nginx で DoS 対策を行う方法

Web サイトを公開するにあたり、Nginx で簡単な DoS 攻撃対策を行う方法を紹介します。特別な方法ではなく最初から Nginx にある機能の紹介です。

  1. limit_req_zone
    $binary_remote_addr は接続元の IP アドレスを示しており、上記の例では、1秒間に 5 リクエスト程度同一のクライアント(IP)からアクセスが来ることを想定しています。
    また、zone の設定で 5MB 分の IP アドレスを保持するという設定になっています。このあたりはサイトのアクセス数に応じて引き上げてください。
    ただし、この設定だけではアクセスをブロックすることはありません。
  2. limit_req
    この設定を入れたコンテキストで、limit_req_zone で設定した制限が適用されることになります。
    burst を設定することで、制限を超えたリクエストも指定した数だけ待たせておくことができます。併せて nodelay を設定することで、制限を超えたリクエストを遅延させることなく直ちに 503 レスポンスを返します。逆に delay で指定した秒数遅延させることもできますが、攻撃のような予期せぬスパイクには nodelay で問題ないかと思います。

以上が、Nginx で簡単な DoS 対策になります。
注意点としては、上記は .php (ページ)に対して制限を有効にしていますが、これを全体に対して制限をかけてしまうと、画像やCSSファイルなどあらゆる静的ファイルに対してアクセスが来るのが普通なのですぐに制限にかかってしまいます。limit_req の設定を入れる際はステージング環境などで負荷試験等を行いつつ慎重に設定してください。

-nginx
-,

執筆者:

関連記事

【Nginx】Amazon S3へリバースプロキシ

Nginx から Amazon S3 へリバースプロキシ 今回は Nginx から Amazon S3 へリバースプロキシする方法について触れたいと思います。 ( 以前はプライベートな S3 へのリバ …

【Nginx】変数の中身を確認しデバッグする方法

Nginx で変数をログに出力する Nginx を使用していると、実際に変数の中身を確認して設定を組みたい、特定の変数の中身をログに出力して確かめたい!なんてことがあると思います。 そんなときに役立つ …

HTTPS化に向けてWebサーバでSSL設定をするときのコツ

概要 Webサイトのセキュリティが案じられている現状で、各サイトのHTTPS(SSL化)への移行が急速に進んでいる。 GoogleもHTTPSサイトへの移行を推奨しており、SEO観点でも大きく影響して …

【Nginx】フォワードプロキシを構築する

フォワードプロキシとは フォワードプロキシを利用することで、接続元のIPを変更および、固定することが可能です。 接続元のサーバが複数台存在し、IP制限をかけてある接続先に対してリクエストをする際に、そ …

【Nginx】$upstream_cache_status-キャッシュステータスの見方

Nginx でキャッシュのステータスを確認する方法 まずNginxでキャッシュを使用している場合に、ユーザのリクエストに対して、キャッシュが効いているか確認する方法を紹介します。 やることは非常に簡単 …