Nginx 如何防御 DDOS 攻击？-TopSSL

Nginx 如何防御 DDOS 攻击？

Nginx 本身并非专用防火墙，但在合理配置下可作为第一道防线，有效缓解轻量级 DDoS 攻击。其核心机制依赖连接控制、请求频率限制与资源隔离，结合上游 WAF 或云防护服务实现纵深防御。

主流手段包括：使用 limit_conn 模块限制单 IP 并发连接数，防止连接耗尽型攻击；通过 limit_req 配合漏桶算法控制请求速率，抵御 HTTP Flood；启用 ngx_http_vhost_traffic_status_module 等监控模块实时观测流量异常；配合 iptables 或 fail2ban 对高频恶意源进行封禁。

主题锚点句
本文讨论基于 Nginx 原生模块与常见扩展的 DDoS 缓解策略，不涉及专用硬件或第三方代理层（如 CDN）的全局清洗能力。

连接与请求限流

Nginx 的 `limit_conn_zone` 和 `limit_conn` 可定义共享内存区域，按 `$binary_remote_addr` 为键限制每个客户端 IP 的最大并发连接数。例如设置单 IP 最多 10 个并发连接，超出将返回 503。类似地，`limit_req_zone` 支持基于令牌桶的请求频控，如限制每秒不超过 20 个请求，突发允许 50，适用于登录、API 接口等高风险路径。

此类配置对应用层 Flood 有一定压制作用，但无法识别加密流量中的恶意行为，且在 SYN Flood 或 UDP Flood 场景下无效——这些需依赖内核参数（如 syncookies）或网络层设备。

缓冲区与超时调优

调整 `client_body_buffer_size`、`client_header_buffer_size` 及 `large_client_header_buffers` 可减少大请求导致的内存耗尽风险。缩短 `client_body_timeout` 和 `client_header_timeout` 能快速释放僵死连接，避免 slowloris 类慢速攻击长期占用 worker 进程。

生产环境中建议将 keepalive_timeout 设置为 15–30 秒，并启用 keepalive_requests 限制长连接请求数，平衡性能与资源占用。

与外部系统联动

单纯依赖 Nginx 不足以应对大规模 DDoS。更务实的建议是将其置于云 WAF（如阿里云WAF、Cloudflare）之后，由前端完成原始流量清洗。Nginx 可通过 `real_ip` 模块还原真实客户端 IP，并基于 GEOIP 或威胁情报库拦截已知恶意 ASN。

若自建集群，可集成 Prometheus + Grafana 监控请求速率突增，触发 Alertmanager 调用脚本动态更新 geoip-blocking 规则，实现简易响应闭环。

维度	参考标准	工程师建议
并发连接限制	limit_conn_zone + limit_conn	按业务峰值设定阈值，避免误杀爬虫或移动端用户
请求频率控制	limit_req_zone + burst	区分静态资源与动态接口，后者应更严格
日志分析辅助	结合 ELK 分析 access.log	识别高频 UA、无 Referer 请求模式
纵深防御	CA/B Forum DDoS Mitigation Best Practices	Nginx 仅作边缘补充，主防依赖网络层与云服务