每當遇到服務器突發(fā)高負載、惡意爬蟲瘋狂抓取、或競爭者的CC攻擊，精準控制每個IP的請求就成了守護服務的最后防線。
最近研究了一下nginx和OpenResty的限速能力，本文把涉及到的一些技術原理和配置要點記錄下來。

一、Nginx原生防控：第一道防火墻

核心模塊：

• ? limit_req_zone：請求速率限制（漏桶算法）
• ? limit_conn_zone：并發(fā)連接控制

配置示例：

# 全局配置 (http塊)
limit_req_zone$binary_remote_addr zone=ip_req:10m rate=30r/s;
limit_conn_zone$binary_remote_addr zone=ip_conn:5m;

server {
location / {
    # 限速：每秒30請求+10突發(fā)（nodelay立即處理突發(fā)）
    limit_req zone=ip_req burst=10 nodelay; 
    
    # 每個IP最多20并發(fā)連接
    limit_conn ip_conn 20;  
    
    # 封禁超限IP時返回429而非503
    error_page429 = @ratelimit; 
  }

location@ratelimit {
    add_header Retry-After 10;
    return429'{"error": "Too Many Requests"}';
  }
}

關鍵參數計算：

• ? 共享內存大小公式：1MB ≈ 16,000個IP狀態(tài)
• ? 突發(fā)值建議：burst = 正常峰值流量 × 1.5

二、OpenResty動態(tài)控制：智能防護體系

當需要差異化策略、行為分析、動態(tài)封禁時，原生Nginx力不從心?；贚ua的OpenResty提供了無限可能：

1. 官方武器庫：lua-resty-limit-traffic

access_by_lua_block {
  local lim = require"resty.limit.req".new("ip_req_store", 100, 50)

-- 差異化限速：VIP用戶放寬限制
local rate = is_vip(ip) and200or100
  lim:set_rate(rate)

if lim:incoming(ip) == "rejected"then
    ngx.header["Retry-After"] = 5
    return ngx.exit(429)
end
}

2. 行為分析引擎：識別惡意模式

function detect_abnormal(ip)
  local dict = ngx.shared.ip_behavior
local key = ip..":pattern"

-- 統(tǒng)計10秒內請求路徑熵值
local entropy = calculate_path_entropy(ip) 

-- 熵值異常升高判定為掃描行為
if entropy > THRESHOLD then
    dict:set(key, "scanner", 600)
    returntrue
end
end

3. 分布式封禁系統(tǒng)（Redis版）

local redis = require "resty.redis"
local red = redis:new()

-- 自動拉黑高頻攻擊IP
if req_count(ip) > 1000 then
  red:sadd("global:blacklist", ip)
  red:expire(ip, 3600)
end

-- 全局黑名單校驗
if red:sismember("global:blacklist", ip) then
  ngx.exit(403)
end

三、多層級防御架構

           ┌──────────────┐
           │ 前端WAF防護    │  (Cloudflare/AWS WAF)
           └──────┬───────┘
                  │
           ┌──────▼──────┐  動態(tài)規(guī)則
           │ OpenResty   ├─────────────┐
           │ 深度行為分析 │             │
           └──────┬──────┘             │
                  │                    ▼
           ┌──────▼──────┐      ┌──────────────┐
           │ Nginx       │      │  Redis集群    │
           │ 基礎限流     │?─────?  分布式狀態(tài)同步  │
           └──────┬──────┘      └──────────────┘
                  │
           ┌──────▼──────┐
           │ Fail2ban     │ (日志分析自動封IP)
           └─────────────┘

四、實戰(zhàn)優(yōu)化策略

1. 1. 動靜分離限流

if is_static_file(uri) then
  rate = 1000  -- 靜態(tài)資源放寬
elseif uri == "/api/login" then
  rate = 2     -- 登錄接口嚴格限制
end

1. 2. 區(qū)域性策略定制

local geo = require "resty.maxminddb"
local is_cn = geo.lookup(ip).country == "CN"

-- 國內IP放寬限制（防海外攻擊）
lim:set_rate(is_cn and 200 or 50)

1. 3. AI動態(tài)權重調整

# Python模型預測IP風險值（OpenResty通過gRPC調用）
risk_score = model.predict(ip, request_pattern)
lua_rate = 1000 * (1 - risk_score)  # 高風險IP自動降權

結語：精度與效率的平衡藝術

流量控制如同走鋼絲：過嚴則傷及真實用戶，過松則服務崩潰。OpenResty提供了前所未有的靈活性，但需記?。?/span>

1. 1. 始終監(jiān)控效果：可以使用Prometheus+Granfa實時觀察限流影響
2. 2. 漸進式實施：先觀察基線流量，再設置閾值
3. 3. 保留逃生通道：動態(tài)配置中心支持秒級回滾

【附錄：配置要點速查表】