腳本之家服務器常用軟件

快捷導航

軟件下載

android MAC 驅(qū)動下載字體下載 DLL

源碼下載

PHP ASP.NET ASP JSP

軟件編程

C# JAVA C 語言 Delphi Android

網(wǎng)絡編程

PHP ASP.NET ASP JavaScript

在線工具

CSS格式化 JS格式化 Html轉(zhuǎn)化為Js

數(shù)據(jù)庫

MYSQL MSSQL oracle DB2 MARIADB

CMS

PHPCMS DEDECMS 帝國CMS WordPress

常用工具

PHP開發(fā)工具 python Photoshop 必備軟件

Linux Nginx VPS下簡單解決CC攻擊

更新時間：2010年12月10日 17:42:41 作者：

Linux Nginx VPS下簡單解決CC攻擊,使用Nginx與php的朋友可以參考下。

一，準備工作

1，登錄進VPS控制面板，準備好隨時重啟VPS。

2，關閉Web Server先，過高的負載會導致后面的操作很難進行，甚至直接無法登錄SSH。

3，以防萬一，把設置的Web Server系統(tǒng)啟動后自動運行去掉。

（如果已經(jīng)無法登錄進系統(tǒng)，并且重啟后負載過高導致剛剛開機就已經(jīng)無法登錄，可聯(lián)系管理員在母機上封掉VPS的IP或80端口，在母機上用虛擬控制臺登錄進系統(tǒng)，然后進行2&3的操作，之后解封）

二，找出攻擊者IP

1，在網(wǎng)站根目錄建立文件ip.php，寫入下面的內(nèi)容。

<?php

$real_ip = getenv(‘HTTP_X_FORWARDED_FOR');

if(isset($real_ip)){

shell_exec("echo $real_ip > real_ip.txt");

shell_exec("echo $_SERVER['REMOTE_ADDR']> proxy.txt”);

}else{

shell_exec("echo $_SERVER['REMOTE_ADDR'] > ips.txt”)"

}

echo'服務器受到攻擊，正在收集攻擊源，請在5分鐘后訪問本站，5分鐘內(nèi)多次訪問本站有可能會被當作攻擊源封掉IP。謝謝合作！';

?>

2，設置偽靜態(tài)，將網(wǎng)站下的所有訪問都rewrite到ip.php。

Nginx規(guī)則：

rewrite (.*) /ip.php;

Lighttpd規(guī)則:

url.rewrite = (

“^/(.+)/?$" => "/ip.php”

)

3，啟動Web Server開始收集IP

進行完1和2的設置后，啟動Web Server，開始記錄IP信息。

收集時間建議為3到5分鐘，然后再次關閉Web Server。

real_ip.txt，這個文件中保存的IP有80%以上都相同的，這個IP就是攻擊者實施攻擊的平臺的IP。

proxy.txt，這個文件中保存的是攻擊者調(diào)用的代理服務器的IP，需要封掉。

ips.txt，這里記錄的是未表現(xiàn)出代理服務器特征的IP，根據(jù)訪問次數(shù)判斷是否為攻擊源。

三，對上一段的補充

如果VPS上啟用了WEB日志，可以查看日志文件的增長速度來判斷是哪個站點被攻擊。

如果沒有啟用日志，并且站點數(shù)量很少，臨時啟用日志也很方便。

如果沒有啟用日志，并且站點數(shù)量過多，可以使用臨時的Web Server配置文件，不綁定虛擬主機，設置一個默認的站點。然后在ip.php里加入下面一行

shell_exec("echo $_SERVER['HTTP_HOST']>> domain.txt”);

domain.txt里將保存被訪問過的域名，被CC攻擊的站點將在里面占絕大多數(shù)。

四，開始封堵IP

建立文件ban.php

<?

$threshold = 10;

$ips = array_count_values(file('ips.txt'));

$ban_num = 0;

foreach($ips as $ip=>$num){

if($num > $threshold){

$ip = trim($ip);

$cmd = “iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP”;

shell_exec($cmd);

echo “$ip baned! ”;

$ban_num ++;

}

$proxy_arr = array_unique(file('ips.txt'))'

foreach($proxy_arr as $proxy){

$proxy = trim($proxy);

$cmd = “iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP”;

shell_exec($cmd);

echo “$ip baned! ”;

$ban_num ++;

}

echo “total: $ban_num ips ”;

?>

用下面的命令執(zhí)行腳本（確保php命令在PATH中）

php ban.php

這個腳本依賴于第二段中ips.txt里保存的結(jié)果，當其中記錄的IP訪問次數(shù)超過10次，就被當作攻擊源給屏蔽掉。如果是代理服務器，則不判斷次數(shù)直接封掉。

封完IP之后，把所有的網(wǎng)站設置恢復正常，站點可以繼續(xù)正常運行了。

五，一些細節(jié)

為保持對操作過程的描述盡量簡潔，沒有在上面的內(nèi)容中加入過多的解釋，留在這段統(tǒng)一講述。

1，關于“代理服務器”的一些本質(zhì)

兩個與TCP&HTTP協(xié)議相關的值，REMOTE_ADDR和HTTP_X_FORWARDED_FOR。

（1）REMOTE_ADDR總是取離Web服務器最接近的一臺主機的IP，如果沒有使用代理，這個值就是訪問者本身的IP，如果使用了代理，這個值就是代理服務器的IP，如果通過多個代理服務器進行的連接，這個值就是到達Web服務器前最后一臺代理服務器的IP。

REMOTE_ADDR是由TCP/IP層決定的，不能修改不能偽造。

（2）HTTP_X_FORWARDED_FOR，因為這個值是屬于HTTP部分，而不是TCP/IP，所以這個值不管是什么，都不影響數(shù)據(jù)的傳輸。事實上，一般情況下，如果是訪問者直接訪問Web服務器，這個值為空；通過透明代理的時候，這個值會被代理服務器設置為訪問者的IP；通過匿名代理連接時，這個值可能為代理服務器的IP也可能是空的也有可能是隨機的。

HTTP_X_FORWARDED_FOR可以被任意修改。大多數(shù)代理服務器都是透明代理，也就是說，會把這個值設置為最原始訪問者的IP。

2，關于解決CC攻擊的層面問題

按處理效率從高到低排列。

（由于本文是針對VPS服務器所寫，而VPS簡單來說就是服務器的低端替代品，內(nèi)存和CPU等資源普遍偏低，當然是處理效率越高越好。）

（1）網(wǎng)絡傳輸層。也就是本文所用的iptables，這個工具本身是工作于系統(tǒng)內(nèi)核，在建立網(wǎng)絡連接時直接把攻擊者的連接給否了。在這一層面上將攻擊源處理掉后，消耗掉的資源幾乎可以忽略不計。

（2）Web Server層，大多數(shù)Web Server都可以設置禁止訪問的IP。在這一層上解決的意義和上面的差不多，但是效率要差些。

（3）腳本層，從腳本程序上制定適合于本身的策略過濾掉攻擊源。網(wǎng)絡上有很多流傳的在這一層面的解決方案，但是不太適用于VPS，而且設置難度可能要增加幾倍或者幾十倍。

3，為什么不是從日志收集IP？

主要是考慮兩點，一是大多數(shù)VPS使用者都因為硬盤空間過小，經(jīng)常清除日志很麻煩，而直接禁止了日志。

二是如果從日志收集IP，腳本復雜程度要高很多，而且可能要根據(jù)情況做些調(diào)整，考慮到將要讀到本文的人大多數(shù)都未必掌握更多的技術(shù)，本文的目的就是按部就班的依本文進行操作，即可解決問題。

您可能感興趣的文章: