nginx에서 봇/abuse 트래픽 대응하기

UA 차단(map), rate limit, 캐시로 비용을 줄이고 서비스 안정성을 올리는 실전 패턴

분야: DevOps/인프라 시리즈: Nginx nginxrate-limitbotsecurityperformance

운영에서 트래픽은 “성장”이기도 하지만, “공격/스크래핑/오류 크롤러”이기도 합니다. 특히 정적/검색 기반 사이트는 봇 트래픽이 빠르게 늘 수 있습니다.

1) 기본 접근: 단계적으로 적용

  1. 관측부터: 어떤 경로가, 어떤 UA/IP로, 얼마나 때리는가
  2. 부하가 큰 엔드포인트부터 보호: 로그인/검색/상세 API
  3. 룰을 좁게 적용: 오탐을 줄이고 점진적으로 확대

관련 용어: 로깅(Logging), 메트릭(Metrics)

2) UA 기반 차단 (map)

map $http_user_agent $is_bad_bot {
  default 0;
  ~* (?:semrush|ahrefs|mj12bot|curl|python-requests) 1;
}

server {
  # ...
  if ($is_bad_bot) { return 403; }
}

※ 실서비스에서는 “좋은 봇(검색엔진)”까지 막지 않도록, 목록을 신중히 관리합니다.

3) rate limit으로 폭주 막기

limit_req_zone $binary_remote_addr zone=api_rl:10m rate=5r/s;

server {
  location /api/ {
    limit_req zone=api_rl burst=20 nodelay;
    proxy_pass http://127.0.0.1:3000/;
  }
}

4) 정적 자산 캐시(비용 절감)

해시 기반 정적 자산(/_astro/ 등)은 immutable 캐시가 비용을 크게 줄입니다.

관련 문서: nginx: 정적 사이트 + SSL + HTTP→HTTPS

관련 가이드

백업 설계: 복구 가능 + secrets 제외
백업은 ‘파일 생성’이 아니라 ‘복구 검증’입니다. DB/파일/시크릿을 분리해 운영 사고를 줄입니다.
Let’s Encrypt / certbot 운영 체크리스트
SSL 발급/갱신에서 자주 막히는 포인트(.well-known, 리다이렉트, 자동갱신)를 정리
MediaWiki 서버 이전 체크리스트 (nginx + PHP-FPM + DB)
MediaWiki(위키)를 다른 서버로 옮길 때 필요한 파일/DB/nginx/PHP/TLS 체크리스트
한 VPS에서 여러 도메인/앱을 nginx로 운영하는 구조
정적 사이트 + API 프록시 + PHP(FastCGI)까지 함께 올릴 때의 vhost/경로/캐시/보안 패턴
nginx로 Node 서버 배포하기 (systemd + HTTPS)
Node 서버를 localhost로 띄우고 nginx로 프록시한 뒤, certbot으로 Let’s Encrypt SSL까지 한 번에 구성하는 흐름 가이드
nginx 운영 기본기: sites-available, conf.d, 로그, reload
한 서버에서 nginx를 운영할 때 필요한 디렉토리 구조/검증/로그/갱신 루틴을 체크리스트로 정리