nginx针对静态页面防CC攻击..docx

nginx针对静态页面防CC攻击一、架构Nginx介绍Nginx是一款由俄罗斯程序设计师Igor Sysoev所开发轻量级的网页服务器、反向代理服务器以及电子邮件（IMAP/POP3）代理服务器。Nginx的特点Nginx相较于Apache、lighttpd具有占有内存少，稳定性高等优势，并且依靠并发能力强，丰富的模块库以及友好灵活的配置而闻名。在Linux操作系统下，nginx使用epoll事件模型，得益于此，nginx在Linux操作系统下效率相当高。Nginx的反向代理功能nginx proxy是nginx的重要功能，利用proxy基本可以实现一个完整的7层负载均衡，它有这些特色：1、功能强大，性能超强，工作稳定。2、后端转向与业务配置分离，非常灵活。3、可以指定任意IP和端口进行配置，与网络环境是不相干的。4、可以针对后端返回的情况判断，不正常则重新请求另一台主机，并自动剔除不正常的主机。5、可以分配权重，并且分配均匀。6、可以实现多种分配策略。7、上传文件使用异步处理方式，nginx会先将文件接收下来，然后再转发到后端，这样可以减少后端服务器很多连接。根据Nginx的特点与反向代理的功能，使之成为静态页面防CC攻击绝佳选择。根据我们以往的经验，一台Q9300、4GB内存的主机，可以轻松防住7万链接的CC攻击，此时服务器资源占用仍然相当低。Nginx防CC攻击的架构：二、服务器配置服务器环境：CentOS 6.3 X64（注：以下文档，蓝色为配置文件的内容，红色为运行的命令）1、安装系统、编译环境等最小化安装CentOS。因为安装后我们要升级系统补丁，再安装必要组件，所以没必要安装其他组件。安装完后，配置iptables，打开80端口，或者直接关闭iptables。用?yum update -y?升级系统的组件安装编译Nginx必要的组件：yum install -y gcc make sendmail pcre pcre-devel openssl openssl-devel nano screen lrzsz wget curl curl-devel sendmail mlocate openssh-clients man patch添加www用户组和用户，并且指定www用户的shell为/sbin/nologingroupadd www ?useradd -g www -s /sbin/nologin www创建相关的目录mkdir -p /var/log/nginx?/var/proxy_temp_dir?/var/proxy_cache_dir#touch /var/log/nginx/.log2、编译nginx下载nginxcd ~wget /download/nginx-1.2.7.tar.gztar zxf nginx-1.2.7.tar.gz下载ngx_cache_purgewget --no-check-certificate /FRiCKLE/ngx_cache_purge/archive/master.zip -O ngx_cache_purge-master.zipunzip -x ngx_cache_purge-master.zip下载nginx-upstream-jvm-routewget /files/nginx-upstream-jvm-route-0.1.tar.gz -O nginx-upstream-jvm-route-0.1.tar.gztar zxf nginx-upstream-jvm-route-0.1.tar.gz进入nginx源代码目录cd nginx-1.2.7打补丁patch -p0 ../nginx_upstream_jvm_route/jvm_route.patch编译./configure --user=www --group=www --add-module=../nginx_upstream_jvm_route --add-module=../ngx_cache_purge-master --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_modulemake make install3、配置nginx进入nginx的配置目录cd /usr/local/nginx/conf/vi nginx.confnginx.conf的配置user www www;worker_processes 8;pid /usr/local/nginx/logs/nginx.pid;worker_rlimit_nofile 65535;events? {use epoll;work