这是一个创建于 3053 天前的主题,其中的信息可能已经有所发展或是发生改变。
if($_COOKIE['yes_cc']){
if(microtime(true) - $_COOKIE['yes_cc'] < 0.3){
redirect('http://127.0.0.1');
}
}else{
cookie('yes_cc',microtime(true),1); //不知道为什么,浏览器禁用 cookie 了这条语句还是能写入
}
if(!$_COOKIE['yes_cc']) redirect('http//127.0.0.1');
设置 cookie 过期时间为 1 秒,如果 0.3 秒内访问超过 1 次就跳转到 http://127.0.0.1,如果禁用 cookie 也跳转到 http://127.0.0.1
if(microtime(true) - $_COOKIE['yes_cc'] < 0.3){
redirect('http://127.0.0.1');
}
}else{
cookie('yes_cc',microtime(true),1); //不知道为什么,浏览器禁用 cookie 了这条语句还是能写入
}
if(!$_COOKIE['yes_cc']) redirect('http//127.0.0.1');
设置 cookie 过期时间为 1 秒,如果 0.3 秒内访问超过 1 次就跳转到 http://127.0.0.1,如果禁用 cookie 也跳转到 http://127.0.0.1
 | 1 JackBlack2006 2017-08-02 20:37:58 +08:00 少数禁用了 cookie 的 firefox chrome 哭晕在硬盘里(滑稽) |
| 2 JackBlack2006 2017-08-02 20:38:33 +08:00 不过这是个好思路,上述的用户毕竟少数 |
 | 3 lianz 2017-08-02 20:40:05 +08:00  5 零价值代码。 请求打到了 PHP 上已经算是防御失败了。 |
 | 4 zbinlin 2017-08-02 20:42:36 +08:00 干吗要跳转到 127.0.0.1,直接 denied 不就行了。 |
 | 5 tianxiacangshen OP @JackBlack2006 但是我刚刚测试禁用 cookie,cookie('yes_cc',microtime(true),1); 这条语句还是能写入和读出,不知道什么原因 |
| 6 tianxiacangshen OP @lianz 请问这段代码能防止每秒 1000-3000 次的 cc 攻击吗,我是 windows 服务器 ,php+mysql+IIS7 环境,请问怎么高效防 cc ? |
 | 7 试试 nginx+lua |
 | 8 whatsmyip 2017-08-02 20:52:08 +08:00 设置 COOKIE 只是发出了一个 http header,浏览器禁用 COOKIE 就不会执行。 你可以把 COOKIE[] 看作是一个普通变量,自然可以在写入后读取了。 真想用 COOKIE 的话,可以先让跳转到某一页面种 COOKIE。 不过话说这种手段基本防君子不防小人。 |
 | 9 VgV 2017-08-02 21:07:11 +08:00 cookies 不行,如果我每一次访问都重新设置时间呢? |
 | 10 Yourshell 2017-08-02 21:29:14 +08:00 直接屏蔽 IP,第三方防火墙。 |
 | 11 ovear 2017-08-02 21:30:08 +08:00 打到 php 上了就都不行。。 |
 | 12 rainex 2017-08-02 21:48:10 +08:00 我知道的 cc 攻击都是专用工具,只管建立 http 连接,也不管你返回要建立 cookie 还是干嘛,人家根本不理会 cooke 本质上是种靠不住的东西 |
 | 14 iyaozhen 2017-08-02 22:34:25 +08:00 via Android 我每请求带的 yes_cc 固定为未来的一个时间戳,不就行了 |
 | 15 03 2017-08-02 22:59:38 +08:00 via Android 永远不要相信用户输入。。。cookies 是存在客户端的 |
 | 16 0ZXYDDu796nVCFxq 2017-08-02 23:19:09 +08:00 via iPhone 弄十几个能 set-cookie 的肉鸡,轻松击垮 |
 | 17 changwei 2017-08-02 23:29:08 +08:00 via Android 人家黑客也不是吃素的,别人难道不会专门针对你这种策略写个 cc 攻击器嘛? |
 | 18 rootx 2017-08-03 01:47:52 +08:00 via iPhone 在 nginx 层防住才能叫防 CC |
 | 19 jarlyyn 2017-08-03 01:58:33 +08:00 如果要做这种的话,直接 nginx 处理不就好了,连 lua 都不需要 判断有没有 cooke,没有 cookie 403 到带 js 设置的页面并 reload 有 cookie 正常访问 参考 https://blog.jarlyyn.com/site/blogi/100-%E7%94%A8nginx+cookie%E9%98%B2%E6%AD%A2%E7%AE%80%E5%8D%95%E7%9A%84%E6%8A%93%E5%8F%96/%E7%A0%B4%E8%A7%A3%E9%AA%9A%E6%89%B0 |
 | 20 msg7086 2017-08-03 02:19:34 +08:00 负价值,只杀普通用户,不杀 CC 脚本。 |
 | 22 aksoft 2017-08-03 08:55:58 +08:00 你这个没啥用。。。直接在 nginx 杀,lua 的性能不错啊 |
 | 23 blackboar 2017-08-03 09:09:59 +08:00 1 CC 只是一种概念性的定义,如果量很小你的代码能起到一些效果,再稍微大一点你的 php 挂了,需要 http 服务来解决,如果再大一些 http 服务就会挂掉,可能需要系统层面来处理,以此类推这个问题最终要在网络层面解决的;在当前的情况下已经基本没有通过这种方式来攻击了,都是挂大量的肉鸡、机房机器来攻击,这种情况下根本不需要考虑攻击的方式,直接往死了发包就行,一般都直接挂了;最终拼的就是带宽、网络层面的硬防,所以现在市面上买带宽做高仿的很多,软件防火墙这类产品根本没有市场了。 |
 | 26 owenk 2017-08-16 11:18:34 +08:00 没什么卵用,防 CC 除了代码外,还得靠防火墙和防护,我之前做网站防 CC 时,写了很多代码,最后还是被 CC 了,痛定思痛,为了节约时间,除使用代码外,还使用了安全狗,但是要在服务器上安全客户端,麻烦。 最后找的是知道创宇抗 D 保来防 CC 的,效果还不错,至少目前没有遇到什么大的问题。 贴个地方,方便大家。 https://www.yunaq.com/kangdbao/ |
Select Language