我们正在运行 nginx 反向代理集群,将流量转发到我们的主要网站,这使我们能够过滤掉不需要的流量/用户等,并将它们发送到其他地方,现在我们遇到了一些 SYN 洪水问题,每秒的请求都会溢出代理+主服务器,导致它们变得不可用。
是否有任何 IP 表魔法可以做到 A)限制 SYN 数据包/HTTP 连接的速率 B)如果数据包是恶意的,则将其全部阻止
或者任何关于如何在 nginx 中使用 limit_rate_zone 的建议,我已经在 Google 上搜索过并尝试应用一些新的结果,但它们都不起作用,网站仍然不可用。
答案1
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 2 --connlimit-mask 32 -j DROP