nginx针对静态页面防CC攻击概述.docx

nginx针对静态页面防CC攻击 一、架构 Nginx介绍 Nginx是一款由俄罗斯程序设计师Igor Sysoev所开发轻量级的网页服务器、反向代理服务器以及电子邮件（IMAP/POP3）代理服务器。 Nginx的特点 Nginx相较于Apache、lighttpd具有占有内存少，稳定性高等优势，并且依靠并发能力强，丰富的模块库以及友好灵活的配置而闻名。 在Linux操作系统下，nginx使用epoll事件模型，得益于此，nginx在Linux操作系统下效率相当高。 Nginx的反向代理功能 nginx proxy是nginx的重要功能，利用proxy基本可以实现一个完整的7层负载均衡，它有这些特色： 1、功能强大，性能超强，工作稳定。 2、后端转向与业务配置分离，非常灵活。 3、可以指定任意IP和端口进行配置，与网络环境是不相干的。 4、可以针对后端返回的情况判断，不正常则重新请求另一台主机，并自动剔除不正常的主机。 5、可以分配权重，并且分配均匀。 6、可以实现多种分配策略。 7、上传文件使用异步处理方式，nginx会先将文件接收下来，然后再转发到后端，这样可以减少后端服务器很多连接。 根据Nginx的特点与反向代理的功能，使之成为静态页面防CC攻击绝佳选择。根据我们以往的经验，一台Q9300、4GB内存的主机，可以轻松防住7万链接的CC攻击，此时服务器资源占用仍然相当低。 Nginx防CC攻击的架构： keepalived动态负载均衡  二、服务器配置 服务器环境：CentOS 6.3 X64 （注：以下文档，蓝色为配置文件的内容，红色为运行的命令） 1、安装系统、编译环境等 最小化安装CentOS。因为安装后我们要升级系统补丁，再安装必要组件，所以没必要安装其他组件。 安装完后，配置iptables，打开80端口，或者直接关闭iptables。 用?yum update -y?升级系统的组件 安装编译Nginx必要的组件： yum install -y gcc make sendmail pcre pcre-devel openssl openssl-devel nano screen lrzsz wget curl curl-devel sendmail mlocate openssh-clients man patch 添加www用户组和用户，并且指定www用户的shell为/sbin/nologin groupadd www ?useradd -g www -s /sbin/nologin www 创建相关的目录 mkdir -p /var/log/nginx?/var/proxy_temp_dir?/var/proxy_cache_dir #touch /var/log/nginx/.log 2、编译nginx 下载nginx cd ~ wget  HYPERLINK /download/nginx-1.2.7.tar.gz /download/nginx-1.2.7.tar.gz tar zxf nginx-1.2.7.tar.gz 下载ngx_cache_purge wget --no-check-certificate /FRiCKLE/ngx_cache_purge/archive/master.zip -O ngx_cache_purge-master.zip unzip -x ngx_cache_purge-master.zip 下载nginx-upstream-jvm-route wget /files/nginx-upstream-jvm-route-0.1.tar.gz -O nginx-upstream-jvm-route-0.1.tar.gz tar zxf nginx-upstream-jvm-route-0.1.tar.gz 进入nginx源代码目录 cd nginx-1.2.7 打补丁 patch -p0 ../nginx_upstream_jvm_route/jvm_route.patch 编译 ./configure --user=www --group=www --add-module=../nginx_upstream_jvm_route --add-module=../ngx_cache_purge-master --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module make make install 3、配置nginx 进入nginx的配置目录 cd /usr/local/nginx/conf/ vi nginx.conf nginx.conf的配置 u