如何防范这样的针对Web服务器发起的攻击？也算是拒绝服务了

frosty

如果用于学习\r\n需要CC攻击源代码的可以和我联系

accid

看现象，是遭到cc,fatboy 这类工具的攻击，典型的表现是 动态页面访问缓慢，httpd、数据库或中间件进程消耗CPU很大

platinum

原帖由 \"chinayx\" 发表：\n网上一种小工具（名字略去），以多线程方式，轮换使用代理列表中的代理，对于一台特定Web服务器的80端口发起请求。\r\n\r\n随便找台过得去的pc机，adsl线路，开到1000线程左右\r\n\r\n这个时候Web服务器的情况就是，80口的连..........

\r\n没见过这样的攻击工具，但从描述上来看是一种建立了 3 次握手之后通过正常手段消耗 CPU 和 DISK I/O 的攻击方式\r\nconnlimit 你也提到了，这个可以限制每个 IP 的最大连接数，难道这个不行吗？

河里的鱼

原帖由 \"platinum\" 发表：\n\r\n没见过这样的攻击工具，但从描述上来看是一种建立了 3 次握手之后通过正常手段消耗 CPU 和 DISK I/O 的攻击方式\r\nconnlimit 你也提到了，这个可以限制每个 IP 的最大连接数，难道这个不行吗？

\r\n\r\n有点不实际,连接多少是多?多少是少?

platinum

原帖由 \"河里的鱼\" 发表：\n\r\n\r\n有点不实际,连接多少是多?多少是少?

\r\n对于一个 BBS 来说，如果正常用户访问，我想 10 个足够了，难道他下个附件还要开 flashget 弄个 10 线程？\r\n浏览网页是走 HTTP/1.1 协议，属于短连接，网页出来以后连接就会中断，10 个还不够？

河里的鱼

原帖由 \"platinum\" 发表：\n\r\n对于一个 BBS 来说，如果正常用户访问，我想 10 个足够了，难道他下个附件还要开 flashget 弄个 10 线程？\r\n浏览网页是走 HTTP/1.1 协议，属于短连接，网页出来以后连接就会中断，10 个还不够？

\r\n\r\n 具体做过?如果只是理论我觉得不可行~~~\r\n\r\nNAT怎么办?如果NAT下很多用户,这样的情况是不是会影响正常用户?

chinayx

这里的问题在于：\r\n1，同一个网内确实有N个人上同一个论坛。因为论坛面向的对象是学生，而学校确实为同一个公网IP\r\n2，connlimit启用后，iowait会马上增高到90%左右，apache的cpu占用率也非常高，大概除非有个前端，否则使用conn也没太大帮助。\r\n3，关于连接数，当并发连接数控制到5的时候，论坛中的表情等图片大部分会无法显示。

xiyang

不要使用conntrack机制\r\n默认有很多问题\r\n可以考虑更改其机制\r\nconnlimit是基于conntrack的

platinum

connlimit启用后，iowait会马上增高到90%左右\r\n应该是 system 吧，iowait 高就不对了

chinayx

呃，部分原因是这台服务器的磁盘系统不行。\r\n但是把限制放到web server这一层，我认为效率太低了。\r\n如何能在之前就阻挡掉大部分呢？