Nginx: limit_conn_zone и limit_req_zone работают?

Question

[47911]

Удивительное рядом.

Я прописал в конфиге nginx следующее:

limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_req_zone $binary_remote_addr zone=one:10m rate=20r/m;

Перед:

include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;

А в конфиге сайта(там: include /etc/nginx/sites-enabled/*;):

location @php_ZAnyCK {
limit_conn addr 3;
limit_req zone=one burst=2 nodelay;
        try_files $uri =404;
        fastcgi_pass $_PHP_COKET;
    }

Собственно сомтрю за сутки: с одного ip 146105, собственно: как такое возможно?

Я понимаю эти записи как: с одного IP на любой сайт(все сайты) может зайти не более 3 раз одновременно и не более 20 запросов в минуту отправить. Собственно: как получилось "146105" с одного настырного IP? Его конечно можно блокировать, но не об этом речь.

И я ранее(за сутки до Этого эксперимента) ставил:

location / {
limit_conn addr 3;
limit_req zone=one burst=2 nodelay;
        ...
    }

И чёто ничего не менялось. В чём дело?(Щас ограничения в секции PHP)

Версия Nginx(1.19.2). Слышал что на некоторых не работает.

Comments

[Lynn «Кофеман»]

Сколько из этих 146105 получили ошибку 503?

[47911]

Порядка 24250 заблокированно. В логах "limiting requests, excess: 2.680 by zone "one","

Из логов пример блокировки:
сайт.ru_error_log:2020/08/17 16:27:02 [error] 25574#25574: *1691784 limiting requests, excess: 2.680 by zone "one", client: 9.9.9.9, server: сайт.ru, request: "GET /ссылка.html HTTP/1.1", host: "сайт.ru"

Сайт и IP заменил.

Всего было на данный момент ~200 тыс. запросов. Почти за 2 дня. Из них как видно, заблокированно почти 25 тыс. А должно быть наоборот исходя из конфига блокировки по IP.

Что касается 503 ошибки: она также, порядка 25 тыс. раз встречается в логах.(но это другая строка логов)

[Lynn «Кофеман»]

А они все попадают в PHP?
Может там большая часть запросов за картинками и т.п.?

[47911]

ы@Lynn, а разве это имеет значение? Он по любому должен был отослать.

К томуже он долбится в "несуществующие страницы"(преимущественно). Почему он получает ошибку об "не существовании страницы", когда его не должно было до этого допустить?

В логах мелькает, из файлов: robots.txt

[Lynn «Кофеман»]

У вас лимиты стоят только в обработчике php

[47911]

Т.е. чтобы отдать "не существует страница" - ему не надо заходить в секцию PHP ? В то время, когда страница формируется из PHP??

У меня по логам: 8 IP от яндекса. Которые за сутки заходят ~10 тыс. до 20 тыс. заходов + 1 бот особо умный - ~ 40 тыс. И это в добавок к начальному посту(146105 обращений).

И база данных - сжирает весь ЦПУ. На сервере ~300 сайтов. И вот эта вся карусель(с кольчество заходов) началась едели 1.5 назад.

Эти лимиты не позволяют отбить яндекс-боты + "Ещё некто" желание вешать сервер.

Answer 1

[47911]

Судя по всему всётаки было с ними всё в порядке.

База грузила все 32 ядра процессора. Поэтому начал грешить на "посещяемость".
====
Вообщем. Проблема была в оперативе(одна из 16-и плашек глючила).

https://debianforum.ru/index.php/topic,16064.0.htm...

edac-util -v

И немного подробнее: в IPMI есть логи, в которых подобная инфа вылезает, если что не так. Собственно - вынули и всё в порядке.