在配置limit_req模块时,如何确定突发请求阈值?
美国、香港服务器
在配置limit_req模块时,如何确定突发请求阈值?
01-28 来源:
在 Nginx limit_req模块中,突发请求阈值(burst参数)用于兼容正常用户的瞬间峰值请求(如页面首次加载、多资源并行请求),同时避免恶意请求利用排队机制占用服务器资源,其值的确定需遵循「贴合业务实际、兼顾防护与体验」的核心原则,以下是可直接落地的确定方法、核心公式、阈值范围推荐及动态调优技巧,适配所有业务场景。
一、先明确:burst的核心作用与配置前提
核心作用:允许客户端瞬间发起 ** 超出基础请求频率(rate)** 的请求数,超出rate但未达rate+burst的请求,会根据是否加nodelay处理(生产必加nodelay,超出直接返回 503,禁止排队占内存);
配置前提:burst必须配合nodelay使用,否则攻击工具会通过大量排队请求耗尽服务器连接资源,失去防护意义;
核心关系:burst是rate的补充阈值,而非独立值,其大小完全由rate和业务实际峰值决定,无固定硬值。
二、快速确定:通用核心公式(90% 场景直接套用)
这是最便捷、最贴合实际的确定方法,无需复杂统计,直接根据基础请求频率rate计算,兼顾正常业务峰值与防护效果:
核心公式
plaintext
burst = rate × 2 (基础推荐值,适配绝大多数个人/中小企业站点)
# 进阶调优:业务峰值较高(如商城、接口服务)可设为 rate × 2 ~ rate × 3
公式原理
正常用户的瞬间峰值请求(如页面首次加载时同时请求 html、js、css、图片等资源),其峰值通常为基础请求频率的 2 倍左右,此值能完全兼容正常请求,且不会给恶意请求留过多漏洞。
直接套用示例(对应不同服务器配置 / 业务)
服务器配置 业务类型 基础频率rate 推荐burst值(公式计算) 最终配置示例
1 核 2G 个人博客 / 静态站 10r/s 10×2=20 limit_req zone=xxx burst=20 nodelay
2 核 4G 企业官网 / 小商城 20r/s 20×2=40 limit_req zone=xxx burst=40 nodelay
4 核 8G 电商 / 接口服务 50r/s 50×2.5=125(进阶调优) limit_req zone=xxx burst=125 nodelay
三、精准确定:基于 Nginx 日志的实际峰值统计(适合高访问 / 精准防护场景)
若为电商、高并发接口、政务站点等对防护精度要求高的场景,可通过分析 Nginx 访问日志,统计正常用户的实际瞬间请求峰值,让burst完全贴合业务实际,避免误封或防护不足。
操作步骤(宝塔 / 原生 Nginx 通用,命令直接复制)
步骤 1:筛选单 IP 的请求日志(取正常访问 IP,避免攻击 IP 干扰)
bash
运行
# 宝塔Nginx日志路径(替换为你的域名)
grep "192.168.1.100" /www/wwwlogs/你的域名.com.log | head -50 # 192.168.1.100为正常运维/测试IP
# 原生Nginx日志路径
grep "192.168.1.100" /var/log/nginx/access.log | head -50
步骤 2:统计 1 秒内的最大请求数(即实际峰值)
观察日志中的时间戳(如[28/Jan/2026:16:00:01 +0800]),统计同一 IP 在同一秒内的请求数量,此数值即为实际业务峰值;
步骤 3:确定burst值
plaintext
burst = 实际业务峰值 - rate
# 关键:确保 rate + burst ≥ 实际业务峰值,完全兼容正常请求
精准统计示例
基础频率rate=30r/s,统计得正常 IP1 秒内最大请求数为 55 次;
则burst=55-30=25,最终配置limit_req zone=xxx burst=25 nodelay,可完美兼容该业务的瞬间峰值。
四、不同业务场景的burst阈值范围推荐(直接参考)
结合大量实际配置经验,按业务类型整理了安全且贴合实际的burst范围,无需计算可直接套用,兼顾防护与用户体验:
业务类型 基础rate范围 推荐burst范围 核心原因
个人博客 / 静态站 10-20r/s 20-40 峰值为页面静态资源并行加载
企业官网 / 资讯站 20-30r/s 40-60 含少量动态内容,峰值适中
小商城 / 轻量接口 30-50r/s 60-100 下单 / 查询接口有瞬间峰值
电商 / 高并发接口 50-100r/s 100-200 活动 / 高峰期峰值大幅提升
后台管理系统 5-10r/s 10-20 访问量低,峰值小,严格防护
五、关键调优原则:避免误封 / 防护失效(必看)
确定burst值后,需遵循以下原则动态调优,这是配置成功的核心,避免出现「正常请求被拦截」或「恶意请求绕过限制」:
先高后低,逐步收敛
首次配置建议将burst设为推荐值的上限(如静态站设 40),运行 1-2 天后查看 Nginx 日志,若无正常 IP 的 503 拦截记录,可逐步下调至合理值;若出现正常 IP 被拦截,立即适当提高burst;
动态路径单独配置,burst更低
对/api/*、/admin/*、.php等动态路径,单独配置limit_req时,burst应设为整站的 50%(更严格),因为动态请求无大量静态资源并行加载,峰值远低于整站;
示例:整站rate=20r/s、burst=40,/api/路径设rate=20r/s、burst=20;
burst不可过大,避免恶意绕过
burst并非越大越好,若设为过高(如rate=20r/s、burst=100),恶意请求可通过瞬间发起大量请求绕过限制,占用服务器资源,最大不超过rate×4;
结合白名单,豁免特殊 IP
对运维 IP、公司办公 IP、服务器本地 IP,通过geo模块配置白名单,跳过limit_req限制,避免自己维护时被拦截(白名单配置见之前的教程)。
六、配置生效验证:确认burst值合理
配置后需验证burst值是否适配业务,避免无效配置,核心通过Nginx 访问日志判断,命令直接复制:
bash
运行
# 宝塔Nginx
cat /www/wwwlogs/你的域名.com.log | grep 503 | head -20
# 原生Nginx
cat /var/log/nginx/access.log | grep 503 | head -20
合理判断标准
有效防护:日志中出现单个 / 少数 IP 的大量连续 503 记录,说明恶意高频请求被成功拦截;
无正常误封:日志中无正常用户 IP(如办公 IP、测试 IP)的 503 记录,说明burst值能兼容正常峰值;
若出现正常 IP 的 503 记录,直接提高burst值即可。
核心总结
确定limit_req突发请求阈值burst的核心方法,按优先级排序:
快速套用:直接用公式 burst=rate×2,90% 场景可用,简单高效;
场景参考:根据业务类型直接选用推荐的burst范围,无需计算;
精准统计:高访问场景通过 Nginx 日志统计实际峰值,按burst=实际峰值-rate计算,完全贴合业务;
动态调优:先高后低,结合日志验证,动态路径单独配置更低burst,必加nodelay。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
