下载限速

共计 2194 个字符，预计需要花费 6 分钟才能阅读完成。

一、限速介绍

在生产环境中，为了保护 WEB 服务器的安全，我们都会对用户的访问做出一些限制，保证服务器的安全及资源的合理分配。

限流（rate limiting）是 NGINX 众多特性中最有用的，也是经常容易被误解和错误配置的，特性之一访问请求限速。该特性可以限制某个用户在一个给定时间段内能够产生的 HTTP 请求数。请求可以简单到就是一个对于主页的 GET 请求或者一个登陆表格的 POST 请求。用于安全目的上，比如减慢暴力密码破解攻击。通过限制进来的请求速率，并且（结合日志）标记出目标 URLs 来帮助防范 DDoS 攻击。一般地说，限流是用在保护上游应用服务器不被在同一时刻的大量用户请求湮没

限速说的很笼统，其实限速分为很多种限速方法：

1）下载速度限速

2）单位时间内请求数限制

3）基于客户端的并发连接限速

nginx 限速模块

Nginx 官方版本限制 IP 的连接和并发分别有两个模块：

limit_req_zone 用来限制单位时间内的请求数，即速率限制, 采用的漏桶算法“leaky bucket”。

limit_req_conn 用来限制同一时间连接数，即并发限制。

二、应用场景

下载限速：限制现在速度及并发连接数，应用在下载服务器中，保护带宽及服务器的 IO 资源。

请求限速：限制单位时间内用户访问请求，防止恶意攻击，保护服务器及资源安全。

三、限速原理

漏桶原理

 算法思想是：水（请求）从上方倒入水桶，从水桶下方流出（被处理）；来不及流出的水存在水桶中（缓冲），以固定速率流出；水桶满后水溢出（丢弃）。这个算法的核心是：缓存请求、匀速处理、多余的请求直接丢弃。相比漏桶算法，令牌桶算法不同之处在于它不但有一只“桶”，还有个队列，这个桶是用来存放令牌的，队列才是用来存放请求的。

四、限速实现

1）单位时间内请求数限制

# 基于 IP 对下载速率做限制  限制每秒处理 1 次请求，对突发超过 5 个以后的请求放入缓存区 
http {
    limit_req_zone $binary_remote_addr zone=baism:10m rate=1r/s;
    server {
        location /abc {limit_req zone=baism burst=5 nodelay;}
}
limit_req_zone $binary_remote_addr zone=baism:10m rate=1r/s;
第一个参数：$binary_remote_addr 表示通过 remote_addr 这个标识来做限制，“binary_”的目的是缩写内存占用量，是限制同一客户端 ip 地址。第二个参数：zone=baism:10m 表示生成一个大小为 10M，名字为 one 的内存区域，用来存储访问的频次信息。第三个参数：rate=1r/ s 表示允许相同标识的客户端的访问频次，这里限制的是每秒 1 次，还可以有比如 30r/ m 的。limit_req zone=baism burst=5 nodelay;
第一个参数：zone=baism 设置使用哪个配置区域来做限制，与上面 limit_req_zone 里的 name 对应。第二个参数：burst=5，重点说明一下这个配置，burst 爆发的意思，这个配置的意思是设置一个大小为 5 的缓冲区当有大量请求（爆发）过来时，超过了访问频次限制的请求可以先放到这个缓冲区内。第三个参数：nodelay，如果设置，超过访问频次而且缓冲区也满了的时候就会直接返回 503，如果没有设置，则所有请求会等待排队。

2）限制并发连接数

# 基于 IP 做连接限制  限制同一 IP 并发为 1
limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
        listen       80;
        server_name  localhost;

        location / {
            root   html;
            index  index.html index.htm;
        }

        location /abc {limit_conn addr 1;}

    }

}

3）限制下载速度

 下载速度为 100k
server {
        listen       80;
        server_name  localhost;

        location / {
            root   html;
            index  index.html index.htm;
        }

        location /abc {limit_rate 100k;}

    }

}

4）综合案例

限制 web 服务器请求处理为 1 秒一个，触发值为 5；

限制并发连接数为 4;

限制下载速度为 100.

http {
    include       mime.types;
    default_type  application/octet-stream;

    sendfile        on;
    keepalive_timeout  65;
#基于 IP 做连接限制  限制同一 IP 并发为 1  下载速度为 100K
limit_conn_zone $binary_remote_addr zone=addr:10m;
#基于 IP 对下载速率做限制  限制每秒处理 1 次请求，对突发超过 5 个以后的请求放入缓存区 
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {
        listen       80;
        server_name  localhost;

        location / {
            root   html;
            index  index.html index.htm;
        }

        location /abc {
           limit_req zone=one burst=5 nodelay;
           limit_conn addr 4;
           limit_rate 100k;
        }

    }

}