1 分钟(60 秒)内,同一 IP 刷新了多少次,就当作恶意刷新关小黑屋?(防御单一 IP 的 CC 攻击)

2014-09-26 00:29:36 +08:00
 kmvan
1分钟内,刷 30 次?还是 60 次呢?或者有没有其他更好的方案?
8423 次点击
所在节点    PHP
31 条回复
thinkxen
2014-09-26 01:04:11 +08:00
暂时没
qwe321
2014-09-26 01:25:53 +08:00
有些网站F5就刷挂了
0x142857
2014-09-26 05:19:09 +08:00
都是按秒算
rockpine
2014-09-26 08:41:20 +08:00
@qwe321 比如说v2ex,在当前页面按住F5不放,就被关小黑屋了,哈哈
bjzhush
2014-09-26 09:00:44 +08:00
根据业务场景来,其实直接ban不太好,有些单位公网IP是同一个,几百人在用
可以加不同难度的验证码并为之设定有效时间
imn1
2014-09-26 09:16:02 +08:00
善用 http 304
geew
2014-09-26 10:19:36 +08:00
@rockpine 刚去试了下 真被v2关小黑屋了。。。。。
wwlweihai
2014-09-26 10:22:22 +08:00
@geew 那是白屋 好吧 刚刚刷进去了
ddosinhell
2014-09-26 10:48:37 +08:00
前几天回复稍微频繁 就被关了
CoX
2014-09-26 10:54:43 +08:00
如果你用的是apache+php的话,可以尝试一下这个模块mod_evasive
ryd994
2014-09-26 11:06:31 +08:00
nginx可以加conn_limit和req_limit
也可以iptables限制连接频率和并发连接
geew
2014-09-26 11:15:31 +08:00
@wwlweihai 。。。why you try
qwe321
2014-09-26 12:11:19 +08:00
@geew 。。。why you try
durrrr
2014-09-26 12:32:45 +08:00
Please retry after 1121 seconds.
我也进去了
pubby
2014-09-26 13:01:41 +08:00
现在也在用一个简单防CC策略

1. 每隔10秒将 nginx access log文件交给php脚本分析,得到可疑ip
2. 将可疑ip放入防火墙<check>队列,该队列会将80端口的请求导入到一个检测服务
3. 用golang写了一个检测程序:
第一步:尝试js跳转,cookie验证,如果通过,则将请求relay到原80端口,并且继续观察后续请求频率。
第二步:如果第一步通过后访问频率还是高,就进入验证码验证,如果验证码通过,就把ip从<check>队列移除。
4. <check>中每个ip只保留1小时,防止误伤。
young
2014-09-26 13:10:19 +08:00
我刚出来...
lbp0200
2014-09-26 13:31:46 +08:00
我的vps供应商设置的是5/s
evefree2
2014-09-26 13:36:12 +08:00
特定时间 内, 某一IP如果在特定规则下刷 就关小黑屋,然后特定时间解锁就ok
ZMOM1031
2014-09-26 13:36:39 +08:00
暂时没碰到过这种情况,以前经常浏览器自动刷新的,
要是就因为这事把我关进去了,我保证给他DDoS。

遇到CC攻击不会通过防火墙检测把他的数据包丢弃掉吗?
kivensun
2014-09-26 14:26:01 +08:00
果然有小黑屋 刚出来

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/135736

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX