全球主机交流论坛

标题: 那位用手工用脚本取IP封攻击源的朋友，我给你支一招 [打印本页]

作者: 360安全卫士 时间: 2012-7-21 20:31
标题: 那位用手工用脚本取IP封攻击源的朋友，我给你支一招
1.脚本肯定不能运行太勤。CPU吃不消的。
2.可以抽样日志，减少被写爆的机会，而且如果真的有恶意流量，短时间内有大量请求，抽样了仍然可以看出与其它访客的区别。
3.尝试减少运算量，将应用层的缓存前移，在受到大量动态的请求攻击时，没有防御的站势必会造成大量的“无用”运算，倘若能将运算量降到极限，让CPU有足够空闲来自动封禁这些IP，这样感觉就不错了。

4.标题中的支一招：CC攻击往往全部都是请求的动态页面，静态内容基本没有请求。这是99%的CC攻击的特征。坛子里的朋友若有人能据此写个小SHELL，从日志中分别将所有IP抽取然后检查对应请求过的页面，若全是动态页面99%有问题，封之即可。（这也是我以前对付大便、邱子健百试不爽的一招）

作者: 狂奔的蜗牛 时间: 2012-7-21 20:36
学习……

作者: meike 时间: 2012-7-21 20:41
很强悍...

作者: star826 时间: 2012-7-21 20:47
提示: 作者被禁止或删除内容自动屏蔽

作者: geyunbing 时间: 2012-7-21 20:55
提示: 作者被禁止或删除内容自动屏蔽

作者: 360安全卫士 时间: 2012-7-21 20:58

geyunbing 发表于 2012-7-21 20:55
高手啊。

加分啊！！！你妹的

作者: 老大来了 时间: 2012-7-21 20:58
（这也是我以前对付大便、邱子健百试不爽的一招）

作者: osiris 时间: 2012-7-21 20:59
楼主是无误封的策略
CPU不够的话，首先全封，只要活动链接全封了，然后tail+awk，删选出正常IP加白名单。这个策略比较适合VPS用，省资源。

作者: 必应 时间: 2012-7-21 21:00
求放招

作者: vip1 时间: 2012-7-21 21:00
神鸡

作者: 360安全卫士 时间: 2012-7-21 21:01

osiris 发表于 2012-7-21 20:59
楼主是无误封的策略
CPU不够的话，首先全封，只要活动链接全封了，然后tail+awk，删选出正常IP加白名单。这 ...

如果网站上有对时间敏感的业务，比如“采票”、抽奖，对会员的访问体验非常之大。

你的策略适合博客之类的个人网站，生产应用中慎用。

作者: 满意沟通 时间: 2012-7-21 21:10
最后一段是亮点

作者: 360安全卫士 时间: 2012-7-21 21:11

满意沟通发表于 2012-7-21 21:10
最后一段是亮点

最后一句是亮点

作者: osiris 时间: 2012-7-21 21:46

360安全卫士发表于 2012-7-21 21:01
如果网站上有对时间敏感的业务，比如“采票”、抽奖，对会员的访问体验非常之大。

你的策略适合博客之类 ...

VPS CPU跑满的时候网站已经暂停了，这时候全封也没错。如果CPU没满当然你的方案更合适。

不是看生产应用是什么，是看手边的配置定方案。抽奖被C死了也得全封，不封一样打不开。

作者: 过客 时间: 2012-7-21 22:05
这也是我以前对付大便、邱子健百试不爽的一招

作者: 过客 时间: 2012-7-21 22:08
数字哥是说我那个么？

那个只是临时干对方的，一般来说每个人手里的代理资源都有限，所以基本上把日志里的封杀完了

基本上就算结束了。。。

基于此。。。

当然，某些网站，经常被C，那就另当别论了。。。

给个好shell？一键版呗。

作者: 360安全卫士 时间: 2012-7-21 22:13

过客发表于 2012-7-21 22:08
数字哥是说我那个么？

那个只是临时干对方的，一般来说每个人手里的代理资源都有限，所以基本上把日志里的 ...

我不会SHELL，只会UI版的。连nginx conf 都是 editplus写的

作者: magicbear 时间: 2012-7-21 22:14
自动封的路过

作者: doogle 时间: 2012-7-21 22:17
提示: 作者被禁止或删除内容自动屏蔽

作者: doogle 时间: 2012-7-21 22:18
提示: 作者被禁止或删除内容自动屏蔽

作者: gulonely 时间: 2012-7-21 22:19
都是大牛啊，膜拜下

作者: 过客 时间: 2012-7-22 08:47

360安全卫士发表于 2012-7-21 22:13
我不会SHELL，只会UI版的。连nginx conf 都是 editplus写的

数字哥你还需要自己写？给思路，多的是数字程序员写嘛。

作者: wormcy 时间: 2012-7-22 08:54
数字灰常给力

欢迎光临全球主机交流论坛 (https://443502.xyz/)