CC攻击!

Q神

转了这么长时间 对于CC攻击 在UNIX类系统中我感觉至今没有好的解决方案\r\n\r\n在WINNT条件下 不少防火墙很容易的就从底层解决了 直接内容级过滤代理或者过滤代理加智能判断\r\n\r\n在UNIX上尤其FREEBSD上 不少\"高手\"根本不结合实际就来了个限制并发数就可以 实际你们谁测试过 只要代理够多 由于攻击者带宽有限 一个代理再次使用的时候已经间隔了很长时间 这个办法基本没什么效果\r\n而且 CC中大多数上是以数据库崩溃为目的 而不是所谓的APACHE连接数只有1024之类云云\r\n\r\n我没有什么开发能力 但是我从技术结合时间上 研究出一套对于CC攻击的解决模型 希望有能力的朋友帮忙实现 并发布出来共享给大家\r\n\r\n以下思路各自独立\r\n1 根源 拒绝通过非透明代理连接\r\n网络上纯透明代理服务器(1级匿名 也叫高度匿名)现在十分少见了 一般的HTTP代理的X-FORWARD头都会设置 可以封掉带有这个的HTTP连接\r\n进阶改进:通过XFORWARD 大量的3级以下的匿名代理会发送源IP 可以进阶源IP封锁 把产生大量连接的源IP封掉\r\n\r\n关于此方法 我经过用IPTABLE的字符串匹配方式 结果有效 只是其效率太低 如果有高手能开发相关专门的过滤软件 希望能开发出来并跟大家分享\r\n\r\n2 并发连接限制 主要用于并发访问指定页 一般CC都会选择首页或者论坛的列表等数据库查询多的页 这样 如果某个页被同时访问的次数太多 限制同IP并发访问这个页 这个属于一个辅助的方式 判断准确率一般高 但是触发判断的机制不是很完美\r\n\r\n3 基于APACHE(或其他服务器)日志分析判断\r\nCC攻击有一个特点 比如他攻击的是我的http://www.abc.net/index.php\r\n在服务器日志上 会有一个反映 他只请求index.php 不请求INDEX.PHP上带的图片 logo.jpg 和css sytle.css\r\n因为 访问客户端是CC攻击器不是浏览器 不能解析并请求该页需要文件\r\n可以通过TASK程序每隔一定时间检查最近日志文件 如果有满足条件的IP地址 直接写进一个IPTABLE 然后间隔固定时间调用IPFW等防火墙 把这个TABLE的所有IP拒绝连接\r\n\r\n4 基于脚本语言的代理列表生成 \r\n可以通过PHP PYTHON等WEB语言获得历史通过代理访问的IP表 形成一个代理IP库 大家综合资源 通过网络发布 或者仅仅大家交换更新\r\n然后拒绝掉所有公开代理的连接 这样 CC就没有了代理 就没有威力了\r\n\r\n\r\n方法234可以结合 从被动方式进行防御\r\n如果有高手能开发1方式的CC防火墙软件 更是感激 偶的开发功底有限 希望能有人为大家做点事谢谢了