求cc攻击防御

This topic created in 5711 days ago, the information mentioned may be changed or developed.

一直被别人cc攻击，不知道得罪什么人了。

我的是dedecms+discuz！，discuz！的采用了内置的cc防御，对方没什么办法。

但还在不断的cc攻击我的dedecms的php文件，或者uc_server的php文件。

──────

有什么办法进行防御呢，我的是lnmp，nginx屏蔽对方的客户端，就容易造成误杀用户。。

PHP

discuz

20 replies • 1970-01-01 08:00:00 +08:00

Livid

MOD

PRO

Oct 18, 2010

如果你的 ICP 备案什么的齐全的话，试试这个：

http://www.webluker.com/

Kirkcong

Oct 18, 2010

@Livid 汗，这个终究不是解决办法阿。重要的是，怎么部署防御。。。

Kirkcong

Oct 18, 2010

nginx的logs显示：

218.81.175.61 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
116.4.8.245 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
116.4.8.245 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
125.37.180.148 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)"
125.37.180.148 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
61.235.79.184 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; SV1)"
61.235.79.184 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
122.70.11.228 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
122.70.11.228 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
119.116.172.209 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; SV1)"
119.116.172.209 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
182.37.207.216 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
182.37.207.216 - - [18/Oct/2010:15:15:33 +0800] "\x00" 400 173 "-" "-"
183.10.210.21 - - [18/Oct/2010:15:15:33 +0800] "GET /uc_server/admin.php?m=user&a=login&iframe=&sid= HTTP/1.1" 502 533 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)"

Livid

MOD

PRO

Oct 18, 2010

@Kirkcong WebLuker 提供的 MiniCDN 可以帮助你缓解攻击，试试看就知道了。

fanzeyi

Oct 18, 2010

表示不明白但是看了下百科的解释= = 貌似加个放刷新然后如果一个人一直激活防刷新后就自动转到带GFW敏感词的网址自动阻断他对你网站访问3分钟貌似亚洲自由电台的网址就行？这个方法仅限国外服务器= =

Kirkcong

Oct 18, 2010

@fanzeyi 我是国外的服务器。就是，我现在有什么办法在php或者nginx上添加规则，来过滤对方的访问，防止刷新？

gonbo

Oct 18, 2010

@Kirkcong 可以使用一下 www.haifang.in 海外的ddos cc防御

donwa

Oct 18, 2010

discuz！的采用了内置的cc防御?就可以防御住了？那说明用脚本还是可以解决的嘛。写个过来脚本咯

napoleonu

Oct 18, 2010

移出 website root

Kirkcong

Oct 18, 2010

@donwa 我不知道discuz的内置cc防御的脚本，怎么写。。。也不知道怎么用discuz！内置的cc防御来部署？

donwa

Oct 18, 2010

@Kirkcong 我现在去吃饭，6点再找你。看你gmail邮箱。

Kirkcong

Oct 18, 2010

@donwa 好得，谢谢，等待

napoleonu

Oct 18, 2010

@Kirkcong /source/include/misc/misc_security.php

donwa

Oct 18, 2010

@Kirkcong
http://gist.github.com/631998

aligo

Oct 18, 2010

最简单的是：
把每次错误登录的ip存起来，如果次数太多直接交给iptable屏蔽掉？

ninjai

Oct 18, 2010

apf + deflate

fanzeyi

Oct 18, 2010

mark 学习了～

Kirkcong

Oct 18, 2010

@aligo 这个好像不行，太多ip了，而且我觉得这可能误杀用户。。

aligo

Oct 18, 2010

@Kirkcong 你可以把重复次数定得高点，然后再计算下请求之间的间隔什么的阿orz

gonbo

Oct 18, 2010

@Kirkcong 主要看什么攻击，ddos 网络攻击的话，就要用使用防火墙，cc攻击就要屏蔽攻击IP请求频率和保证是真实个人访问。