那位用手工用脚本取IP封攻击源的朋友，我给你支一招

360安全卫士

1.脚本肯定不能运行太勤。CPU吃不消的。
2.可以抽样日志，减少被写爆的机会，而且如果真的有恶意流量，短时间内有大量请求，抽样了仍然可以看出与其它访客的区别。
3.尝试减少运算量，将应用层的缓存前移，在受到大量动态的请求攻击时，没有防御的站势必会造成大量的“无用”运算，倘若能将运算量降到极限，让CPU有足够空闲来自动封禁这些IP，这样感觉就不错了。

4.标题中的支一招：CC攻击往往全部都是请求的动态页面，静态内容基本没有请求。这是99%的CC攻击的特征。  坛子里的朋友若有人能据此写个小SHELL，从日志中分别将所有IP抽取然后检查对应请求过的页面，若全是动态页面99%有问题，封之即可。（这也是我以前对付大便、邱子健 百试不爽的一招）

wormcy

数字灰常给力

过客

360安全卫士 发表于 2012-7-21 22:13
我不会SHELL，只会UI版的。连nginx conf 都是 editplus写的

数字哥你还需要自己写？给思路，多的是数字程序员写嘛。

gulonely

都是大牛啊，膜拜下

过客

这也是我以前对付大便、邱子健 百试不爽的一招

osiris

360安全卫士 发表于 2012-7-21 21:01
如果网站上有对时间敏感的业务，比如“采票”、抽奖，对会员的访问体验非常之大。

你的策略适合博客之类 ...

VPS CPU跑满的时候网站已经暂停了，这时候全封也没错。 如果CPU没满当然你的方案更合适。

不是看生产应用是什么，是看手边的配置定方案。抽奖被C死了也得全封，不封一样打不开。

360安全卫士

过客 发表于 2012-7-21 22:08
数字哥是说我那个么？

那个只是临时干对方的，一般来说每个人手里的代理资源都有限，所以基本上把日志里的 ...

我不会SHELL，只会UI版的。连nginx conf 都是 editplus写的

magicbear

自动封的路过