相關報告顯示，黑客每天都在企圖使用新方法發起 DDoS 攻擊。這使得 DDoS 保護成為服務器安全的關鍵一步。在君君營銷，我們幫助我們的香港服務器租用用戶在其服務器上實施 DDoS 保護，并提供卓有成效的香港高防服務器來幫助企業和開發者實現全品類 DDoS 攻擊的智能檢測和高效防護。今天，我們將討論幾種 Nginx 服務器中預防 DDoS 的不同方式。

　　眾所周知，DDoS(分布式拒絕服務)攻擊通過使用來自多臺聯網設備的過多流量來使您的服務器系統過載或飽和，從而導致服務器宕機，網絡擁塞，您的品牌聲譽受損，財務損失等等。在君君營銷，我們啟用多種溝通渠道，來協助用戶實現 DDoS 保護。我們的香港服務器租用服務支持工程師會檢查包含有關原始 IP 地址，地理位置等信息的服務器日志從而找到問題的根源?，F在讓我們看看我們的專用支持工程師使用的不同 Nginx DDoS 預防方法來緩解這種攻擊。

　　一、軟件防火墻

　　Nginx DDoS 預防的最簡單方法之一是使用 CSF，iptables，UFW，APF 等軟件防火墻。例如，在 iptables 中，我們的托管工程師使用腳本命令限制端口 80 上的連接數。并且，如果連接數超過連接限制，則該 IP 將在服務器中被阻止訪問。同樣，大多數 Web 主機在其 cPanel 服務器中使用 CSF 防火墻。在這里，我們調整 CT_LIMIT，CT_BLOCK_TIME，CT_INTERVAL 等參數來限制連接。同樣，Ubuntu 服務器具有默認防火墻 UFW(簡單防火墻)。UFW 的默認規則是拒絕所有傳入連接并允許所有傳出連接。因此，用戶只能在服務器上啟用所需的端口和 IP，從而減少服務器暴露于 DDoS 攻擊的風險。

　　二、調整 Nginx 參數

　　我們的支持工程師調整各種 Nginx 參數以防止大規模 DDoS 攻擊，包括：

　　1.Nginx 工作進程

　　我們調整的一個重要參數是 Nginx 配置文件 /etc/nginx/nginx.conf 中的工作進程數和連接數。我們逐步將工作進程和連接調整為更高的值來處理 DDoS 攻擊。例如，我們通過設置 Nginx 配置文件，來調整工作連接，允許每個工作進程處理多達 50000 個連接。最重要的是，我們的支持工程師會在增加這些值之前檢查服務器資源，因為未優化的值可能會破壞整臺香港服務器。除此之外，我們還使用系統打開文件限制來限制連接數。換句話說，我們在 /etc/sysctl.conf 中修改參數 fs.file-max。另外，設定每個用戶的開放文件限制數。例如在 /etc/security/limits.conf 文件中設置 Nginx 工作進程的打開文件限制。

　　2. 限制請求率

　　速率限制是防止 Nginx 中 DDoS 的好方法之一。它可以限制在特定時間段內允許從特定客戶端 IP 地址發出的請求數。如果超出此限制，Nginx 會拒絕這些請求。因此，這是我們的托管工程師在服務器強化過程中調整的最重要參數之一。我們調整 Nginx 配置文件中的 limit_req_zone 指令以限制請求。類似地，我們使用 limit_req 指令來限制與特定位置或文件的連接。

　　3. 限制連接速率

　　此外，我們的 Nginx Experts 速率限制了從單個 IP 地址進行的連接數。換句話說，我們調整 limit_conn_zone 和 limit_conn 指令以限制每個 IP 地址的連接數。

　　4.Nginx 超時參數

　　同樣，與服務器的慢速連接使這些連接長時間保持對服務器的開放。因此，服務器無法接受新連接。在這種情況下，我們的技術支持專家調整 Nginx 的超時參數，如 client_body_timeout 和 client_header_timeout 較低值。使用 client_body_timeout 指令定義 Nginx 在客戶端主體寫入之間等待的時間。

　　5. 限制 HTTP 請求大小

　　同樣，大緩沖區值或大 HTTP 請求大小使 DDoS 攻擊更容易。因此，我們限制 Nginx 配置文件中的緩沖區值以減輕 DDoS 攻擊。

　　6. 限制與后端服務器的連接

　　當 Nginx 用作負載均衡器時，我們的托管工程師會調整 Nginx 參數以限制每個后端服務器處理的連接數。所以，使用 max_conns 指令指定 Nginx 可以為服務器打開的連接數。該隊列指令限制時，該組中的所有服務器已達到連接限制已排隊的請求數。，timeout 指令指定可以在隊列中保留請求的時間。除上述參數之外，我們還將 Nginx 配置為根據請求 URL，User-Agent，Referer，Request 標頭等阻止連接。

　　三、在服務器上安裝 Fail2ban

　　Fail2ban 是一款出色的入侵檢測軟件，可以阻止連接到服務器的可疑 IP。這會掃描服務器日志以查找可疑訪問權限并在防火墻中阻止此類 IP。例如，我們創建一個 fail2ban jail /etc/fail2ban/jail.local 并添加相關代碼來監控對 Nginx 的請求數。這將掃描 Nginx 日志文件并阻止 IP 與服務器建立過多連接。

　　四、啟用基于 sysctl 的保護

　　另外，我們在 Nginx 服務器上調整內核和系統變量。我們在 /etc/sysctl.conf 文件中啟用 syn cookie，泛洪速率限制，每 IP 限制。最重要的是，我們關注以下防止 IP 欺騙、允許 TCP SYN cookie 保護等參數。

　　五、啟用香港高防服務器

　　除 DDoS 預防之外，我們建議客戶采用君君營銷香港高防服務器來部署 Nginx。我們的香港高防服務器基于智能化的全品類 DDoS 攻擊檢測系統和流量清洗平臺，接入高防線路，可以全天候 24 小時實時保護您的服務器免受 DDoS 攻擊侵害。我們的香港高防服務器，根據攻擊情況，支持自動偵測和秒級觸發清洗高達 600Gbps 規模的 DDoS 攻擊，支持壓力測試，支持防御無效退款承諾。

　　總之，Nginx 節點中的 DDoS 預防是確保安全性的重要一步，如果您的服務正在遭受攻擊，則建議啟用香港高防服務器。我們在此為您分享 Nginx 服務器中 DDoS 預防的基本方法，并時刻準備著為客戶提供 DDoS 攻擊防御技術支持，希望對您有所幫助。