寶塔面板LNMP環(huán)境 防CC教程

  • A+
所屬分類:技術(shù)資料

本教程只防CC攻擊,不能防DDOS,防DDOS請麻溜買高防秒解。

實測:1核1G內(nèi)存撐住700多代理IP持續(xù)攻擊,屹立不倒,且CPU在45%左右徘徊。

本教程借助根據(jù)CPU/內(nèi)存大小 優(yōu)化LNMP環(huán)境配置,且使用了類似cfCDN的防CC攻擊特點并做了一些優(yōu)化

什么是CC攻擊

以為我要跟你講?自己不會百度搜索

你是否受到了CC攻擊

1.網(wǎng)站訪問緩慢,報503錯誤(nginx拒絕連接),502錯誤(php掛逼)

2.服務(wù)器CPU 100%;

基本上確診被C了。

LNMP環(huán)境優(yōu)化

1.nginx優(yōu)化:nginx沒有過多的優(yōu)化,一般nginx都死被php拖死的。簡稱:扶不起來

2.寶塔中nginx的過濾器測試效果并不理想,如果各位不打算回復(fù)的話(不打算看接下來的核心內(nèi)容)可以開啟“防CC攻擊模塊”并設(shè)置為頻率100,周期60。能有效防止一些惡意訪問,比如小學(xué)生找不到代理,就幾個代理。如果打算支持一下,請直接關(guān)掉它。

3.php優(yōu)化:服務(wù)器掛壁基本都是php進(jìn)程太多導(dǎo)致的了。nginx是個傳菜的,php就是真正花時間吃飯的。

寶塔面板LNMP環(huán)境 防CC教程

4.如圖:簡單理解,最少15個人在廠里,最多50個人同時干活,如果有35個人以上沒干活就開除掉。

5.根據(jù)CPU核數(shù)設(shè)定起始進(jìn)程數(shù)和最小空閑,這樣可以發(fā)揮正常狀態(tài)的最大優(yōu)勢,加快處理速度 設(shè)置為15*核數(shù) ,即1核15進(jìn)程,雙核30進(jìn)程。

6.根據(jù)內(nèi)存設(shè)置最大進(jìn)程,防止出現(xiàn)內(nèi)存爆炸,導(dǎo)致fpm掛起或者mysql等其他服務(wù)掛逼。設(shè)置為1G*(40-50),即1G內(nèi)存40-50,2G內(nèi)存80-100。

7.設(shè)置上面兩項可以更有效率的使用服務(wù)器。

8.如上設(shè)置并不能防止CC攻擊,但是為我接下來需要說的提供了前提。

redis + 驗證碼 + 策略 防CC

采用redis高性能數(shù)據(jù)庫,合理的訪問策略驗證并在超大攻擊時開啟驗證碼訪問。讓網(wǎng)站遠(yuǎn)離CC

1.安裝redis,在寶塔軟件管理找到,安裝;

2.安裝php redis擴展,你用哪個php就安裝哪個php的擴展,別裝錯了;

3.在網(wǎng)站入口,如emlog的index.php 頭部加入如下代碼:

header('Content-Type: text/html; charset=UTF-8'); //emlog原有代碼,復(fù)制下列代碼放在下面
 
//CC攻擊停止后會盡快解除驗證碼,回到正常狀態(tài)
 
//防CC配置
$IPmax = 30; //開啟驗證碼條件 值>=php最大進(jìn)程數(shù),適當(dāng)設(shè)置更大會降低驗證碼觸發(fā)條件,但會增大502錯誤幾率(php掛起) 
 
$IPfor = 60; //周期 這個值基本不用動
 
$IPban = 60; //扔入黑名單 60秒內(nèi)訪問超過60次即拉黑IP
 
$banTime = 3600*24; //黑名單時長 扔小黑屋時長,這種代理IP放一天感覺都少了 = =!
 
$ip = ip();
 
//連接本地的 Redis 服務(wù)
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
 
//攔截黑名單
if($redis->exists($ip.'ban')){
	exit('您被關(guān)進(jìn)了小黑屋,么么噠!如有疑問,請聯(lián)系站長');
}
 
//扔黑名單檢測
if($redis->get($ip.'ok') >= $IPban){
	$redis->setex($ip.'ban', $banTime, '1');
}
 
if($redis->exists($ip.'ok')){
	$redis->incrby($ip.'ok',1); //記錄IP 自增1
}else{
	$redis->setex($ip.'ok',$IPfor,1);
}
 
//按需開啟防CC 小黑屋IP不會觸發(fā)該條件,所以當(dāng)一段時間以后就會解除驗證碼。除非攻擊者換一批代理繼續(xù)攻擊。如此往復(fù)
if(count($redis->keys("*ok")) > $IPmax){
	//驗證
	if($_COOKIE['key'] == ''){
		if($_GET['cc']){
			$key = md5($ip.$_GET['cc']);
			setcookie("key",$key);
		}
	}
	//攔截代碼
	if($_COOKIE['key'] && $_COOKIE['cc'] && $_COOKIE['key'] == md5($ip.$_COOKIE['cc'])){
		//通過
	}else{
		if($_GET['cc']){
			$key = md5($ip.$_GET['cc']);
			setcookie("key",$key);
		}else{
			$cc = rand(1000,9999);
			setcookie("cc",$cc);
			//這里只是簡單的構(gòu)造了一下驗證碼,有能力可以自己更改的更安全和完美。
			echo '<!DOCTYPE html>
			<html>
			<body>
			<form action="">請輸入:'.$cc.' :<input type="text" name="cc" value=""><input type="submit" value="繼續(xù)訪問"></form> 
			<p>訪問異常,請輸入驗證碼。</p>
			</body>
			</html>';
		}
		exit();
	}
}
function ip() {
    if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {
        $ip = getenv('HTTP_CLIENT_IP');
    } elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {
        $ip = getenv('HTTP_X_FORWARDED_FOR');
    } elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {
        $ip = getenv('REMOTE_ADDR');
    } elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }
    $res =  preg_match ( '/[\d\.]{7,15}/', $ip, $matches ) ? $matches [0] : '';
    return $res;
}

4.整個教程就完啦~,趕快找個CC軟件C自己一波試下吧~

weinxin
下載密碼:526663

發(fā)表評論

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: