编程开发论坛 - Powered by Discuz! Board

标题: lighttpd中使用mod_evasive限制并发连接数（限制流量+防DDOS攻击） [打印本页]

作者: Nothing 时间: 2010-3-6 17:31 标题: lighttpd中使用mod_evasive限制并发连接数（限制流量+防DDOS攻击）

Apache 中有防止DoS攻击的模块mod_evasive。lighttpd中也可以用mod_evasive来限制并发连接数防止DDOS攻击

在lighttpd.conf中添加如下代码来启用mod_evasive，对于zip,mp3等文件下载不启用此限制，否则用户下载文件超过2个的时候会弹出网站无法连接窗口，影响用户体验。

server.modules = (
……
“mod_evasive”
……
);

$HTTP[“url”] =~ ”\.(zip|mp3|mp4|rar|pdf)$” {
evasive.max-conns-per-ip = 2
}

如果要限制流量，可以做如下设置：
#此参数默认值为0，表示无限制
connection.kbytes-per-second ＝ 128
……

$HTTP["host"] == “[url]www.lighttpd.com.cn[/url]” {
server.kbytes-per-second = 128
}

重启lighttpd 生效。

也可以在系统级别上限制连接数：

在/etc/systcl.conf里面加入

net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000

再执行systcl -p

欢迎光临编程开发论坛 (http://bbs.lihuasoft.net/)