client_header_timeout的核心目标是秒级识别并切断恶意拖延的请求头连接,防止worker进程、socket句柄和内存被长期占用;它仅控制从首个HTTP字节到rnrn解析完成的耗时,防Slowloris类攻击,不防body慢传、响应慢读、TLS握手慢或header内容恶意。
合理配置 client_header_timeout 的核心目标,是让 Nginx 在请求头接收阶段就快速识别并切断恶意拖延连接,避免 worker 进程、socket 句柄和内存缓冲区被长期占用。它不依赖后端配合,也不等待业务逻辑,纯在事件循环内完成“秒级裁决”——超时即返回 408 并断连,不进 upstream、不占后端资源、不记完整请求行。
这个参数只管一件事:从 TCP 连接收到第一个字节(含 TLS 握手完成后的首个 HTTP 字节)起,到完整解析出请求头(以 rnrn 结尾)为止的总耗时。
User-Agent: 的 Slowloris 类攻击client_body_timeout 控制send_timeout 范畴ssl_handshake_timeout
不能统一设成 3 秒或 60 秒,需结合真实流量中请求头传输的 P99 耗时设定,而非拍脑袋。
client_header_buffer_size 和 large_client_header_buffers 是否足够,否则缓冲区溢出会触发重试,反而延长等待单设 client_header_timeout 效果有限,需在事件循环层面形成闭环防护,防止资源滞留:
reset_timedout_connection on;:超时后主动发送 RST 包中断连接,跳过四次挥手,立即释放 socket 句柄和内核连接槽位,避免 TIME_WAIT 占用端口和内存limit_conn_zone $binary_remote_addr zone=perip:10m; + limit_conn perip 10;:限制单 IP 初始并发连接数,防攻击者用多个地址绕过 timeoutclient_header_buffer_size 4k; + large_client_header_buffers 4 16k;:确保能容纳常见大 header(如长 Token、多段 Cookie),避免因缓冲不足导致异常等待或重试不能只看 reload 成功,要实测行为:
curl -X GET http://your-domain.com/ --limit-rate 10 -m 30(限速 10 字节/秒,总超时 30 秒)error.log 是否出现 client timed out while reading client request headers
$request_time 接近你设置的 timeout 值(如 6.98s),说明配置已起效netstat -ant | grep :80 | grep SYN_RECV,确认慢速攻击连接未在半开状态持续堆积