- A+
本教程只防CC攻擊,不能防DDOS,防DDOS請麻溜買高防秒解。
實測:1核1G內(nèi)存撐住700多代理IP持續(xù)攻擊,屹立不倒,且CPU在45%左右徘徊。
本教程借助根據(jù)CPU/內(nèi)存大小 優(yōu)化LNMP環(huán)境配置,且使用了類似cfCDN的防CC攻擊特點并做了一些優(yōu)化
什么是CC攻擊
以為我要跟你講?自己不會百度搜索
你是否受到了CC攻擊
1.網(wǎng)站訪問緩慢,報503錯誤(nginx拒絕連接),502錯誤(php掛逼)
2.服務(wù)器CPU 100%;
基本上確診被C了。
LNMP環(huán)境優(yōu)化
1.nginx優(yōu)化:nginx沒有過多的優(yōu)化,一般nginx都死被php拖死的。簡稱:扶不起來
2.寶塔中nginx的過濾器測試效果并不理想,如果各位不打算回復(fù)的話(不打算看接下來的核心內(nèi)容)可以開啟“防CC攻擊模塊”并設(shè)置為頻率100,周期60。能有效防止一些惡意訪問,比如小學(xué)生找不到代理,就幾個代理。如果打算支持一下,請直接關(guān)掉它。
3.php優(yōu)化:服務(wù)器掛壁基本都是php進(jìn)程太多導(dǎo)致的了。nginx是個傳菜的,php就是真正花時間吃飯的。
4.如圖:簡單理解,最少15個人在廠里,最多50個人同時干活,如果有35個人以上沒干活就開除掉。
5.根據(jù)CPU核數(shù)設(shè)定起始進(jìn)程數(shù)和最小空閑,這樣可以發(fā)揮正常狀態(tài)的最大優(yōu)勢,加快處理速度 設(shè)置為15*核數(shù) ,即1核15進(jìn)程,雙核30進(jìn)程。
6.根據(jù)內(nèi)存設(shè)置最大進(jìn)程,防止出現(xiàn)內(nèi)存爆炸,導(dǎo)致fpm掛起或者mysql等其他服務(wù)掛逼。設(shè)置為1G*(40-50),即1G內(nèi)存40-50,2G內(nèi)存80-100。
7.設(shè)置上面兩項可以更有效率的使用服務(wù)器。
8.如上設(shè)置并不能防止CC攻擊,但是為我接下來需要說的提供了前提。
redis + 驗證碼 + 策略 防CC
采用redis高性能數(shù)據(jù)庫,合理的訪問策略驗證并在超大攻擊時開啟驗證碼訪問。讓網(wǎng)站遠(yuǎn)離CC
1.安裝redis,在寶塔軟件管理找到,安裝;
2.安裝php redis擴展,你用哪個php就安裝哪個php的擴展,別裝錯了;
3.在網(wǎng)站入口,如emlog的index.php 頭部加入如下代碼:
header('Content-Type: text/html; charset=UTF-8'); //emlog原有代碼,復(fù)制下列代碼放在下面 //CC攻擊停止后會盡快解除驗證碼,回到正常狀態(tài) //防CC配置 $IPmax = 30; //開啟驗證碼條件 值>=php最大進(jìn)程數(shù),適當(dāng)設(shè)置更大會降低驗證碼觸發(fā)條件,但會增大502錯誤幾率(php掛起) $IPfor = 60; //周期 這個值基本不用動 $IPban = 60; //扔入黑名單 60秒內(nèi)訪問超過60次即拉黑IP $banTime = 3600*24; //黑名單時長 扔小黑屋時長,這種代理IP放一天感覺都少了 = =! $ip = ip(); //連接本地的 Redis 服務(wù) $redis = new Redis(); $redis->connect('127.0.0.1', 6379); //攔截黑名單 if($redis->exists($ip.'ban')){ exit('您被關(guān)進(jìn)了小黑屋,么么噠!如有疑問,請聯(lián)系站長'); } //扔黑名單檢測 if($redis->get($ip.'ok') >= $IPban){ $redis->setex($ip.'ban', $banTime, '1'); } if($redis->exists($ip.'ok')){ $redis->incrby($ip.'ok',1); //記錄IP 自增1 }else{ $redis->setex($ip.'ok',$IPfor,1); } //按需開啟防CC 小黑屋IP不會觸發(fā)該條件,所以當(dāng)一段時間以后就會解除驗證碼。除非攻擊者換一批代理繼續(xù)攻擊。如此往復(fù) if(count($redis->keys("*ok")) > $IPmax){ //驗證 if($_COOKIE['key'] == ''){ if($_GET['cc']){ $key = md5($ip.$_GET['cc']); setcookie("key",$key); } } //攔截代碼 if($_COOKIE['key'] && $_COOKIE['cc'] && $_COOKIE['key'] == md5($ip.$_COOKIE['cc'])){ //通過 }else{ if($_GET['cc']){ $key = md5($ip.$_GET['cc']); setcookie("key",$key); }else{ $cc = rand(1000,9999); setcookie("cc",$cc); //這里只是簡單的構(gòu)造了一下驗證碼,有能力可以自己更改的更安全和完美。 echo '<!DOCTYPE html> <html> <body> <form action="">請輸入:'.$cc.' :<input type="text" name="cc" value=""><input type="submit" value="繼續(xù)訪問"></form> <p>訪問異常,請輸入驗證碼。</p> </body> </html>'; } exit(); } } function ip() { if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) { $ip = getenv('HTTP_CLIENT_IP'); } elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) { $ip = getenv('HTTP_X_FORWARDED_FOR'); } elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) { $ip = getenv('REMOTE_ADDR'); } elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) { $ip = $_SERVER['REMOTE_ADDR']; } $res = preg_match ( '/[\d\.]{7,15}/', $ip, $matches ) ? $matches [0] : ''; return $res; }
4.整個教程就完啦~,趕快找個CC軟件C自己一波試下吧~