全球主机交流论坛

标题: 求关于nginx防CC,多ip少连接怎么防? [打印本页]
作者: shuoming    时间: 2015-7-28 23:18
标题: 求关于nginx防CC,多ip少连接怎么防?
本帖最后由 shuoming 于 2015-7-29 11:36 编辑

事实证明遇到大流量云锁防cc并没有什么卵用,虽然封了几千个ip 但是依然没起到什么作用,限制ip连接数也没能抗住,太多ip了但是每个ip的连接数也不多,有什么办法可以防住?不加小尾巴的情况下?百度了半天好像user agent可以防住一些?
      1 121.12.168.117
      1 121.12.168.135
      1 121.12.168.236
      1 121.12.168.55
      1 121.12.168.68
      1 121.12.168.79
      1 121.12.168.99
      1 121.12.169.107
      1 121.12.169.151
      1 121.12.169.161
      1 121.12.169.167
      1 121.12.169.189
      1 121.12.169.242
      1 121.12.169.253
      1 121.12.169.58
      1 121.12.169.94
      1 121.12.170.133
      1 121.12.170.187
      1 121.12.170.21
      1 121.12.170.221
      1 121.12.170.224
      1 121.12.170.23
      1 121.12.170.251
      1 121.12.170.4
      1 121.12.170.89
      1 121.12.170.92
      1 121.12.171.155
      1 121.12.171.239
      1 121.12.171.244
      1 121.12.171.98
      1 121.12.172.113
      1 121.12.172.122
      1 121.12.172.176
      1 121.12.172.61
      1 121.12.172.75
      1 121.12.172.76
      1 121.12.173.197
      1 121.12.173.208
      1 121.12.173.95
      1 121.12.174.138
      1 121.12.174.145
      1 121.12.174.210
      1 121.12.174.219
      1 121.12.174.233
      1 121.12.174.71
      1 121.12.175.10
      1 121.12.175.208
      1 121.12.175.226
      1 121.12.175.77
      1 121.12.175.81
      1 121.12.175.92
作者: skyidea    时间: 2015-7-28 23:26
提示: 作者被禁止或删除 内容自动屏蔽
作者: 极客族    时间: 2015-7-28 23:28
ua是随机的,没法防
只能分析特征来防
作者: 0x99    时间: 2015-7-28 23:30
本帖最后由 0x99 于 2015-7-28 23:43 编辑

看看这个
http://drops.wooyun.org/tips/734
试试这个
https://github.com/loveshell/ngx_lua_waf
作者: shuoming    时间: 2015-7-28 23:57
0x99 发表于 2015-7-28 23:30
看看这个
http://drops.wooyun.org/tips/734
试试这个

牛, 看来以后应该多关注这些技术博客 谢谢赐教,关于第一个cookies的设置,会先有一个302的重定向,不会影响到爬虫的抓取吗?第二个明天研究研究怎么安装
作者: shuoming    时间: 2015-7-28 23:59
极客族 发表于 2015-7-28 23:28
ua是随机的,没法防
只能分析特征来防

目前看到日志里只访问主页,不随机网址什么的,怎么个分析法,如果ua随机了?很头疼。
作者: Cokid    时间: 2015-7-29 00:01
最近也是在研究防CC的问题
作者: shuoming    时间: 2015-7-29 00:02
Cokid 发表于 2015-7-29 00:01
最近也是在研究防CC的问题

加油
作者: shuoming    时间: 2015-7-29 00:04
0x99 发表于 2015-7-28 23:30
看看这个
http://drops.wooyun.org/tips/734
试试这个

抱歉,刚才了下面的评论 已经有人说过了确实是对于蜘蛛不友好。只是想找全了蜘蛛的网段也不容易,毕竟收集不全还是会有误差。
作者: Kvm    时间: 2015-7-29 01:19
我自己弄的基本和4楼发的差不多,就是直接判断来访者是不是机器人

除了人类全部给丢301去轮回地狱。
作者: shuoming    时间: 2015-7-29 11:36
呵呵 这ip真是整齐啊,
      1 121.12.168.117
      1 121.12.168.135
      1 121.12.168.236
      1 121.12.168.55
      1 121.12.168.68
      1 121.12.168.79
      1 121.12.168.99
      1 121.12.169.107
      1 121.12.169.151
      1 121.12.169.161
      1 121.12.169.167
      1 121.12.169.189
      1 121.12.169.242
      1 121.12.169.253
      1 121.12.169.58
      1 121.12.169.94
      1 121.12.170.133
      1 121.12.170.187
      1 121.12.170.21
      1 121.12.170.221
      1 121.12.170.224
      1 121.12.170.23
      1 121.12.170.251
      1 121.12.170.4
      1 121.12.170.89
      1 121.12.170.92
      1 121.12.171.155
      1 121.12.171.239
      1 121.12.171.244
      1 121.12.171.98
      1 121.12.172.113
      1 121.12.172.122
      1 121.12.172.176
      1 121.12.172.61
      1 121.12.172.75
      1 121.12.172.76
      1 121.12.173.197
      1 121.12.173.208
      1 121.12.173.95
      1 121.12.174.138
      1 121.12.174.145
      1 121.12.174.210
      1 121.12.174.219
      1 121.12.174.233
      1 121.12.174.71
      1 121.12.175.10
      1 121.12.175.208
      1 121.12.175.226
      1 121.12.175.77
      1 121.12.175.81
      1 121.12.175.92
作者: maro666    时间: 2015-7-29 11:42
搞了一个C段的来CC你
作者: shuoming    时间: 2015-7-29 11:44
maro666 发表于 2015-7-29 11:42
搞了一个C段的来CC你

n多段,每次查询都是一片整齐的ip段 不带重复的
作者: maro666    时间: 2015-7-29 11:46
shuoming 发表于 2015-7-29 11:44
n多段,每次查询都是一片整齐的ip段 不带重复的

多大仇啊 买这么多ip也不少钱吧
作者: shuoming    时间: 2015-7-29 11:49
maro666 发表于 2015-7-29 11:46
多大仇啊 买这么多ip也不少钱吧


我也好奇是多大仇,打了两三天了,上了百度cdn现在勉勉强强,前两天必须把cc防御开到最强 就是那种蜘蛛啥也抓不到的程度才能防御住,简直日了狗了,显示昨日攻击 ...2亿.....
(, 下载次数: 0)
作者: 小夜    时间: 2015-7-29 11:52
我遇到这种牛逼的让人受不了的CC攻击,我都是直接上百度最强模式。
不过,我平时蜘蛛就是单独指向的IP,而且单独留了一个VPS,专门跑蜘蛛用。
作者: shuoming    时间: 2015-7-29 11:54
小夜 发表于 2015-7-29 11:52
我遇到这种牛逼的让人受不了的CC攻击,我都是直接上百度最强模式。
不过,我平时蜘蛛就是单独指向的IP,而 ...

用的哪家的dns,我用的那家要买2w的套餐才给单独选择蜘蛛解析 求推荐个
作者: opelnic    时间: 2015-7-29 11:59
我一般是程序限制。5秒内刷新超过20次直接封IP。并且做要页面统计。
作者: 小夜    时间: 2015-7-29 12:04
shuoming 发表于 2015-7-29 11:54
用的哪家的dns,我用的那家要买2w的套餐才给单独选择蜘蛛解析 求推荐个

dnspod的免费,可以指向蜘蛛。
作者: 疯子拿把枪    时间: 2015-7-29 12:08
存一下,以后再看。
作者: shuoming    时间: 2015-7-29 12:25
小夜 发表于 2015-7-29 12:04
dnspod的免费,可以指向蜘蛛。

被ban过,花费48小时转移dns,累觉不爱,再不敢用dnspod.
作者: shuoming    时间: 2015-7-29 12:26
opelnic 发表于 2015-7-29 11:59
我一般是程序限制。5秒内刷新超过20次直接封IP。并且做要页面统计。

准备一试,新建个镜像,再开个vps开始折腾,话说现在还在被攻击这呢



欢迎光临 全球主机交流论坛 (https://sunk.eu.org/) Powered by Discuz! X3.4