那些遇到过的问题

防止 PHP-FPM 在轻负载下崩溃

rye*_*ead 5 nginx performance-tuning php-fpm

我在我托管的 WordPress 网站上遭到 DoS 攻击。

173.192.109.118 - - [30/Sep/2015:22:31:36 +0000] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
Run Code Online (Sandbox Code Playgroud)

我在访问日志中收到大约 140 个这样的日志nginx(花费了大约 10 秒,所以每秒大约 14 个请求),然后它们切换到 502:

173.192.109.118 - - [30/Sep/2015:22:31:46 +0000] "POST /xmlrpc.php HTTP/1.0" 502 537 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
Run Code Online (Sandbox Code Playgroud)

此时,PHP-FPM必须重新启动才能恢复站点。

所以,我的问题是:我可以采取什么措施来防止单个攻击者崩溃PHP-FPM

我的大部分(有限)经验都是与 Apache 相关的,因此任何建议将不胜感激。

我试图对一切设定合理的限制。服务器在负载下有足够的 RAM,因此这似乎不是问题。我刚刚从以下教程中添加了一个速率限制器: https: //www.howtoforge.com/rate-limiting-with-nginx,虽然这似乎延迟了痛苦,但它仍然最终崩溃PHP-FPM

/var/log/php5-fpm.log除了当我忘记在配置文件中添加前导 / 时引入的几个错误以及重新启动后的一堆成功行之外,似乎没有显示任何有趣或有用的内容:

[30-Sep-2015 23:03:51] ERROR: Unable to create or open slowlog(/usr/log/www.log.slow): No such file or directory (2)
[30-Sep-2015 23:03:51] ERROR: failed to post process the configuration
[30-Sep-2015 23:03:51] ERROR: FPM initialization failed
[30-Sep-2015 23:05:47] NOTICE: configuration file /etc/php5/fpm/php-fpm.conf test is successful
Run Code Online (Sandbox Code Playgroud)

/etc/php5/fpm/pool.d/www.conf

[www]
user = www-data
group = www-data
listen = /var/run/php5-fpm.sock
listen.owner = www-data
listen.group = www-data
pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
pm.status_path = /status
ping.path = /ping
ping.response = pong
slowlog = /var/log/php-fpm_$pool.slow.log
request_slowlog_timeout = 30
request_terminate_timeout = 30
chdir = /
Run Code Online (Sandbox Code Playgroud)

/etc/nginx/nginx.conf

user www-data;
worker_processes 4;
pid /run/nginx.pid;
events {
    worker_connections 768;
}
http {
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    include /etc/nginx/mime.types;
    default_type application/octet-stream;
    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;
    gzip on;
    gzip_disable "msie6";
    gzip_vary on;
    gzip_proxied any;
    gzip_comp_level 6;
    gzip_buffers 16 8k;
    gzip_http_version 1.1;
    gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

    limit_req_zone  $binary_remote_addr  zone=one:10m   rate=1r/s;

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
}
Run Code Online (Sandbox Code Playgroud)

/etc/nginx/sites-enabled/example.com

server {
  server_name localhost www.example.com;
  return 301 http://example.com$request_uri;
}
server {
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    root /var/www/html;
    index index.php index.html index.htm;
    server_name example.com;

    client_max_body_size 500M;

    location / {
        try_files $uri $uri/ /index.php?q=$uri&$args;
    }

    error_page 404 /404.html;

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /var/www/html;
    }

    location ~*  \.(jpg|jpeg|png|gif|ico|css|js|woff)$ {
            expires 365d;
    }
        location ~ \.php$ {
            try_files $uri =404;
            fastcgi_split_path_info ^(.+\.php)(/.+)$;
            fastcgi_pass unix:/var/run/php5-fpm.sock;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
            limit_req zone=one burst=5;
        }

    location /status {
        fastcgi_pass php;
    }

    location /ping {
        fastcgi_pass php;
    }

    location ~ /\. {
        deny all;
    }
}
Run Code Online (Sandbox Code Playgroud)

**更新**

我更新了标题以更好地反映我的问题,希望能吸引一些有关PHP-FPM调优的高质量讨论。

作为第二个问题,可能比第一个问题更重要,我想知道: 如何调整/强化 PHP-FPM 以利用所有可用的服务器资源而不首先崩溃。

Apache / PHP 可能没有那么高效,但它并没有停止处理请求,直到服务器瘫痪,然后当攻击结束时,站点又恢复了。必须手动重新启动一个稍微过度劳累的服务似乎相当不愉快。(14 请求/秒真的没什么)

我同意用来fail2ban减轻 DoS 攻击的想法,但我真正担心的是如果/当常规流量达到 15 请求/秒时会发生什么?

dro*_*kie 0

基本上你有以下选择:

  • 使用数据包过滤器阻止
  • 使用 nginx 阻塞就像

location / { deny xx.xx.xx.xx; allow all; }

  • 增加到等于cpu 核心 x 2pm.max_children , 5 的数量太低了 - 可能增加后每秒只能处理 14 个请求,这实际上并不是那么大的数字。此外,您正在使用 nginx指令来限制请求速率,我建议您添加另一个区域并配置较低的突发大小或.limit_reqnodelay

归档时间:

查看次数:

2896 次

最近记录:

2 年,10 月 前
相关归档
nginx 在 upstream_http_ 变量上添加标头条件 19
由于来自随机 IP 地址的以“\x”开头的随机编码字符串导致 Nginx 400 错误 14
如何在nginx的map指令中指定几个变量 13
上传大于 1MB 的文件 = 连接重置 8
Nginx 权限被拒绝上游错误,即使在 777 之后 6
Nginx 文件上传暂停/中途停止(仅上传 258kb 并停止) - 408 请求超时 6
查看 nginx 中所有活动的虚拟主机? 5
代理服务器和网关服务器有什么区别? 5
NGINX 如何通过 IP 重定向访问以改为通过主机名访问? 3
为什么nginx会占用这么多硬盘空间? 2
难疑归档
我怎样才能杀死所有停止的工作? 111
什么是“任播”,它有什么帮助? 89
嵌套位置 nginx 86
ec2 中 PV 和 HVM 虚拟化类型有什么区别? 70
FreeNAS 可靠吗? 70
是否可以通过 sftp 使用 rsync(没有 ssh shell)? 69
服务器机房的正确温度是多少? 63
Vagrant、Docker、Chef 和 OpenStack(或类似产品)之间的关系? 57
第 3 层 LACP 目标地址哈希究竟是如何工作的? 53
如何删除丢失的 systemd 单元? 53