1.DDOS是一種通過大流量的請求對目標進行轟炸式訪問，導致提供服務(wù)的服務(wù)器資源耗盡進而無法繼續(xù)提供服務(wù)的攻擊手段。

一般情況下，攻擊者通過大量請求與連接使服務(wù)器處于飽和狀態(tài)，以至于無法接受新的請求或變得很慢。

2.應(yīng)用層DDOS攻擊的特征

應(yīng)用層（七層/HTTP層）DDOS攻擊通常由木馬程序發(fā)起，其可以通過設(shè)計更好的利用目標系統(tǒng)的脆弱點。例如，對于無法處理大量并發(fā)請求的系統(tǒng)，僅僅通過建立大量的連接，并周期性的發(fā)出少量數(shù)據(jù)包來保持會話就可以耗盡系統(tǒng)的資源，使其無法接受新的連接請求達到DDOS的目的。其他還有采用發(fā)送大量連接請求發(fā)送大數(shù)據(jù)包的請求進行攻擊的形式。因為攻擊是由木馬程序發(fā)起，攻擊者可以在很短時間內(nèi)快速建立大量的連接，并發(fā)出大量的請求。

以下是一些DDOS的特證，我們可以據(jù)此特征來抵抗DDOS（包括但不限于）：攻擊經(jīng)常來源于一些相對固定的IP或IP段，每個IP都有遠大于真實用戶的連接數(shù)和請求數(shù)。備注：這并不表明這種請求都是代表著DDOS攻擊。在很多使用NAT的網(wǎng)絡(luò)架構(gòu)中，很多的客戶端使用網(wǎng)關(guān)的IP地址訪問公網(wǎng)資源。但是，即便如此，這樣的請求數(shù)和連接數(shù)也會遠少于DDOS攻擊。因為攻擊是由木馬發(fā)出且目的是使服務(wù)器超負荷，請求的頻率會遠遠超過正常人的請求。User-Agent通常是一個非標準的值Referer有時是一個容易聯(lián)想到攻擊的值

3.使用Nginx、Nginx Plus抵抗DDOS攻擊

結(jié)合上面提到的DDOS攻擊的特征，Nginx、Nginx Plus有很多的特性可以用來有效的防御DDOS攻擊，可以從調(diào)整入口訪問流量和控制反向代理到后端服務(wù)器的流量兩個方面來達到抵御DDOS攻擊的目的。

限制請求速度

    設(shè)置Nginx的連接請求在一個真實用戶請求的合理范圍內(nèi)。比如，如果你覺得一個正常用戶每兩秒可以請求一次登錄頁面，你就可以設(shè)置Nginx每兩秒鐘接收一個客戶端IP的請求（大約等同于每分鐘30個請求）。

limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m;server {...location /login.html {limit_req zone=one;...}}

`limit_req_zone`命令設(shè)置了一個叫one的共享內(nèi)存區(qū)來存儲請求狀態(tài)的特定鍵值，在上面的例子中是客戶端IP($binary_remote_addr)。location塊中的`limit_req`通過引用one共享內(nèi)存區(qū)來實現(xiàn)限制訪問/login.html的目的。

4.限制連接數(shù)量

設(shè)置Nginx的連接數(shù)在一個真實用戶請求的合理范圍內(nèi)。比如，你可以設(shè)置每個客戶端IP連接/store不可以超過10個。

limit_conn_zone $binary_remote_addr zone=addr:10m;server {...location /store/ {limit_conn addr 10;...}}

`limit_conn_zone`命令設(shè)置了一個叫addr的共享內(nèi)存區(qū)來存儲特定鍵值的狀態(tài)，在上面的例子中是客戶端IP（ $binary_remote_addr）。location塊中`limit_conn`通過引用addr共享內(nèi)存區(qū)來限制到/store/的最大連接數(shù)為10。

5.關(guān)閉慢連接

有一些DDOS攻擊，比如Slowlris，是通過建立大量的連接并周期性的發(fā)送一些數(shù)據(jù)包保持會話來達到攻擊目的，這種周期通常會低于正常的請求。這種情況我們可以通過關(guān)閉慢連接來抵御攻擊。

`client_body_timeout`命令用來定義讀取客戶端請求的超時時間，`client_header_timeout`命令用來定于讀取客戶端請求頭的超時時間。這兩個參數(shù)的默認值都是60s，我們可以通過下面的命令將他們設(shè)置為5s：

server {client_body_timeout 5s;client_header_timeout 5s;...}

6.設(shè)置IP黑名單

如果確定攻擊來源于某些IP地址，我們可以將其加入黑名單，Nginx就不會再接受他們的請求。比如，你已經(jīng)確定攻擊來自于從123.123.123.1到123.123.123.16的一段IP地址，你可以這樣設(shè)置：

location / {deny 123.123.123.0/28;...}

或者你確定攻擊來源于123.123.123.3、123.123.123.5、123.123.123.7幾個IP，可以這樣設(shè)置：

location / {deny 123.123.123.3;deny 123.123.123.5;deny 123.123.123.7;...}

7.設(shè)置IP白名單

如果你的網(wǎng)站僅允許特定的IP或IP段訪問，你可以結(jié)合使用allow和deny命令來限制僅允許你指定的IP地址訪問你的網(wǎng)站。如下，你可以設(shè)置僅允許192.168.1.0段的內(nèi)網(wǎng)用戶訪問：

location / {allow 192.168.1.0/24;deny all;...}

deny命令會拒絕除了allow指定的IP段之外的所有其他IP的訪問請求。