求cc攻击防御

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 5476 天前的主题，其中的信息可能已经有所发展或是发生改变。

一直被别人cc攻击，不知道得罪什么人了。

我的是dedecms+discuz！，discuz！的采用了内置的cc防御，对方没什么办法。

但还在不断的cc攻击我的dedecms的php文件，或者uc_server的php文件。

──────

有什么办法进行防御呢，我的是lnmp，nginx屏蔽对方的客户端，就容易造成误杀用户。。

PHP

discuz

20 条回复 1970-01-01 08:00:00 +08:00

Livid

MOD

PRO

2010-10-18 15:24:33 +08:00

如果你的 ICP 备案什么的齐全的话，试试这个：

http://www.webluker.com/

Kirkcong

2010-10-18 15:28:38 +08:00

@Livid 汗，这个终究不是解决办法阿。重要的是，怎么部署防御。。。

Kirkcong

2010-10-18 15:28:53 +08:00

nginx的logs显示：

218.81.175.61 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
116.4.8.245 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
116.4.8.245 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
125.37.180.148 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)"
125.37.180.148 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
61.235.79.184 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; SV1)"
61.235.79.184 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
122.70.11.228 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
122.70.11.228 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
119.116.172.209 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; SV1)"
119.116.172.209 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
182.37.207.216 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
182.37.207.216 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
183.10.210.21 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)"

Livid

MOD

PRO

2010-10-18 15:41:54 +08:00

@Kirkcong WebLuker 提供的 MiniCDN 可以帮助你缓解攻击，试试看就知道了。

fanzeyi

2010-10-1815:43:48 +08:00

表示不明白但是看了下百科的解释= = 貌似加个放刷新然后如果一个人一直激活防刷新后就自动转到带GFW敏感词的网址自动阻断他对你网站访问3分钟貌似亚洲自由电台的网址就行？这个方法仅限国外服务器= =

Kirkcong

2010-10-18 15:59:02 +08:00

@fanzeyi 我是国外的服务器。就是，我现在有什么办法在php或者nginx上添加规则，来过滤对方的访问，防止刷新？

gonbo

2010-10-18 16:28:28 +08:00

@Kirkcong 可以使用一下 www.haifang.in 海外的ddos cc防御

donwa

2010-10-18 17:02:57 +08:00

discuz！的采用了内置的cc防御?就可以防御住了？那说明用脚本还是可以解决的嘛。写个过来脚本咯

napoleonu

2010-10-18 17:10:33 +08:00

移出 website root

Kirkcong

2010-10-18 17:11:45 +08:00

@donwa 我不知道discuz的内置cc防御的脚本，怎么写。。。也不知道怎么用discuz！内置的cc防御来部署？

donwa

2010-10-18 17:15:19 +08:00

@Kirkcong 我现在去吃饭，6点再找你。看你gmail邮箱。

Kirkcong

2010-10-18 17:19:30 +08:00

@donwa 好得，谢谢，等待

napoleonu

2010-10-18 17:37:03 +08:00

@Kirkcong /source/include/misc/misc_security.php

donwa

2010-10-18 18:08:51 +08:00

@Kirkcong
http://gist.github.com/631998

aligo

2010-10-18 18:15:45 +08:00

最简单的是：
把每次错误登录的ip存起来，如果次数太多直接交给iptable屏蔽掉？

ninjai

2010-10-18 18:22:15 +08:00

apf + deflate

fanzeyi

2010-10-18 20:21:37 +08:00

mark 学习了～

Kirkcong

2010-10-18 20:46:52 +08:00

@aligo 这个好像不行，太多ip了，而且我觉得这可能误杀用户。。

aligo

2010-10-18 21:25:18 +08:00

@Kirkcong 你可以把重复次数定得高点，然后再计算下请求之间的间隔什么的阿orz

gonbo

2010-10-18 21:32:48 +08:00

@Kirkcong 主要看什么攻击，ddos 网络攻击的话，就要用使用防火墙，cc攻击就要屏蔽攻击IP请求频率和保证是真实个人访问。