YIDAS Code

Intro Nginx限制訪問速率模組：Nginx http_limit_req 原理 使用leaky bucket原理(可以稱漏桶原理)，桶的概念如下： 桶中存放request (令牌的概念) 桶上方由Nginx照設定速率計算補充request 桶下方提供提取request，即一個Request會消耗掉桶中存放的一個request Nginx對於桶的特性如下： 單一IP對應使用一個桶 limit_req_zone中rate是以request數量回推時間做補充的，依照兩次領取的時差補充相應的量 limit_req中burst即定義桶的request最大存放量，在每個新IP(不在Zone中)進入時會拿到全滿request(burst量)的桶 重啟Nginx會清空Zone，意即所有桶的剩餘Quota記憶清除，重新以全滿計算 比照實際設定，limit_req_zone $binary_remote_addr zone=one:10m rate=6r/m;即每間隔10秒可以得到一個request補充量。以rate=100r/s速率來說明，即每0.01秒得一個request補充量，間距0.1秒計算得10個request補充量； 而limit_req zone=one burst=5 nodelay;則表示每個IP桶最大預存的request量為5，有用掉則需等待補充。 Nginx實際上實作leaky bucket補充的方式可能為Trigger回填間隔補充量方式，本篇僅為概念說明，不代表實際Nginx演算法 Reference Nginx下limit_req模块burst参数超详细解析

Outline Nginx防禦設定方針 Access log Error log by llimit_req_zone 架構 Fail2ban是依照設定檔執行過濾，原始設定檔路徑： /etc/fail2ban/jail.conf 如要修改新增可以複製建立成local的設定檔名稱，如有此檔會以此檔優先： /etc/fail2ban/jail.local 設定格式上，[過濾器名稱]會對應到/etc/fail2ban/filter.d/過濾器名稱.conf。 預設已經有ssh過濾器[selinux-ssh]，可自行設定添加其他規則實現過濾條件。 參數解析 官方文件 – Options maxretry: 命中規則次數，為觸發動作的門檻次數 findtime: 搜尋指定Log紀錄的範圍秒數 bantime: IP被禁止的秒數 以SSH過濾器為例，預設共用的maxretry為5，SSH規則上帳號與密碼的錯誤Log會分開，意即如果是帳號錯誤又打密碼登入，這樣嘗試三次就會被鎖了(2×3 > 5)。 Nginx防禦設定方針 看想要哪種方式讓Fail2ban判斷： Access log 設定爬Nginx access.log，findtime跟maxretry純對應RPS 建立一個Fail2ban的Filter用於爬Nginx access log，舉例為/etc/fail2ban/filter.d/nginx-access-limit.conf： [Definition] failregex = […]