@xgowex

😓，可怜的蜘蛛就掉坑里爬不出来了

@Yamade

会，这种浏览器行为检测会无差别的拦截非浏览器流量， cdn 应该也会被拦截到

如果在有 CDN 的情况下使用这种防御方式，应该需要在逻辑中加入专门的规则来放过来自 CDN 的请求

一种方式是由请求路径来判断，一般来说放在 CDN 的是静态文件，而针对静态文件作 CC 攻击是没有太大意义的，所以可以判断如果是静态文件的路径，就不进行这个检测。此外还可以根据 IP 或者 CDN 服务器特有的请求头(如果有的话)来判断

VeryNginx 的话本身支持定义复合规则来匹配请求，所以简单配置就可以做到这一点，并不需要另外编写代码

最后就是使用强制清除缓存的 Http 请求头，并不一定能使 CDN 服务器发出回源请求吧？

@x14oL

ps ：我也是 Python 党

@x14oL

如果自己写一个工具，还需要实现：

1 ，能通过多个代理服务器来发起请求，不然单 IP 很容易被封掉
2 ，对于通过 JavaScript 来设置 cookies 的，需要外挂一个 js 的执行环境，或者读懂 js 的算法，并在 Python 里实现一次

总之成本还是不低

@Strikeactor

非常赞同。

Nginx 限制并发也是一种很好的防御方式，实际上我倾向多种防御方式结合使用，单一的防御方式总有被攻击者绕过的可能性，混合策略就很难绕过，防御效果会比较好

PS ：后续也打算在 VeryNginx 中加入根据请求频次进行屏蔽的防御方式

@woodrat

嗯，可以的

@yanyandenuonuo

这种情况 Token 是一样的

@willis

可能是，好像加速乐也有这样的防护措施

主要是一般人对这个都不怎么了解，写出来科普一下

@jarlyyn

对 CC 攻击者来说，在使用固定或者唯一 Token 的情况下，攻击成本是有差别的。

很多攻击软件是可以设置 http 头的，如果使用固定 Token ，攻击者只需要在本机获取一次 Token ，然后设置好 http 头就可以直接发起攻击了，攻击成本低的可以...

但是如果使用可变 Token ，基本市面上所有 CC 软件全都无法使用了

这样就需要使用 phantomjs 这类的软件，这类工具一般是设计用来作为爬虫的，对攻击来说，速度太慢了

@lecher

拦住搜索引擎是个问题，最好只是在被攻击的时候开启这个功能，平时关闭掉

@lecher

对的，这个就是针对 CC 攻击的一种防御思路，通过这个手段把不合法流量拦住。

对于暴力发包，只发不收的攻击来说，带宽都满了，并并不能通过这种方式进行防御。

生成 Token 的资源消耗还好，我在单核心的虚拟机中测试 VeryNginx ，同时运行 ab 和 VeryNginx ，性能在 6000 Qps 左右，实际上 nginx 单个 Worker 可能可以跑到 1W Qps 。

@scarlex

啊，不要在意这些细节😱

@soolby

太抬举了😁

@H3x @jarlyyn

唯一的 Token 限制了必须能收到回包才可以继续访问。

如果通过多个代理服务器进行攻击

固定 cookies 的情况下，只需要把 cookies 提取出来，然后攻击步骤是：
连接代理->发送请求->断开连接 的过程，

唯一 Token 的情况：
连接代理->发送请求->收到回包->解析包获取 Token->再次发送攻击请求->断开连接

这样攻击的速度会大大降低。

@H3x
如果要进行一次 CC 攻击，过程一般是这样，连接一个代理服务器，发送 http 请求，然后立刻断开连接。这里断开是为了避免受到服务器的回包，因为服务器通常带宽很大，回包都过来的话容易把自己堵死。

网上随便就能下载到很多攻击软件，大概行为模式都是这样。

在添加了一次 Token 验证之后，这类攻击软件就基本不可用了，如果想发起攻击，就只能从头开始编写专门的工具，在普通攻击的方式上完成 Cookies 验证这一步。但具体来说，攻击者在编写这个工具的过程中还需要实现多线程(或者异步)，以及通过代理服务器进行连接这些特性，才可以发起一定强度的攻击。

对于通过返回一个网页，然后通过 Javascript 设置 cookies 的情况，这样攻击工具可能还需要外挂一个 js 的执行环境...

效果就是发起一次攻击的成本大大增加了。

实际上也并没有绝对的防御方式，我们所能做的也就是不断提高攻击者的成本。

@tftk 愿闻其详

@CrazySpiderMan
客气啦，我觉得 p2pspider 也很不错，这个想法很棒，再完善完善，可能成为一个超叼的开源项目

大家一起加油⛽️⛽️

感觉楼主这个有点走偏了，满满的求 star 味道，这样求来的 star 是木有意义的

个人认为开源一个项目，重要的是能给其他人带来价值，这样自然会有 star

ps ：建议先把文档弄好，这样 star 才会多，而不是说到了 1000star 才放文档...

通知一下，经过这段时间的开发， VeryNginx 有了一个大更新，也修正了不少 bug

现已经合并到 master 了，作为 v0.2-beta 版本发布了

主要变更见：
https://www.v2ex.com/t/257521#reply11

呃，那个，最早的版本确实有不少奇怪的 bug ，大家抽空及时更新吧
@wph95 @rrfeng @kenneth @withrock