@lecher

拦住搜索引擎是个问题，最好只是在被攻击的时候开启这个功能，平时关闭掉

@lecher

对的，这个就是针对 CC 攻击的一种防御思路，通过这个手段把不合法流量拦住。

对于暴力发包，只发不收的攻击来说，带宽都满了，并并不能通过这种方式进行防御。

生成 Token 的资源消耗还好，我在单核心的虚拟机中测试 VeryNginx ，同时运行 ab 和 VeryNginx ，性能在 6000 Qps 左右，实际上 nginx 单个 Worker 可能可以跑到 1W Qps 。

@scarlex

啊，不要在意这些细节😱

@soolby

太抬举了😁

@H3x @jarlyyn

唯一的 Token 限制了必须能收到回包才可以继续访问。

如果通过多个代理服务器进行攻击

固定 cookies 的情况下，只需要把 cookies 提取出来，然后攻击步骤是：
连接代理->发送请求->断开连接 的过程，

唯一 Token 的情况：
连接代理->发送请求->收到回包->解析包获取 Token->再次发送攻击请求->断开连接

这样攻击的速度会大大降低。

@H3x
如果要进行一次 CC 攻击，过程一般是这样，连接一个代理服务器，发送 http 请求，然后立刻断开连接。这里断开是为了避免受到服务器的回包，因为服务器通常带宽很大，回包都过来的话容易把自己堵死。

网上随便就能下载到很多攻击软件，大概行为模式都是这样。

在添加了一次 Token 验证之后，这类攻击软件就基本不可用了，如果想发起攻击，就只能从头开始编写专门的工具，在普通攻击的方式上完成 Cookies 验证这一步。但具体来说，攻击者在编写这个工具的过程中还需要实现多线程(或者异步)，以及通过代理服务器进行连接这些特性，才可以发起一定强度的攻击。

对于通过返回一个网页，然后通过 Javascript 设置 cookies 的情况，这样攻击工具可能还需要外挂一个 js 的执行环境...

效果就是发起一次攻击的成本大大增加了。

实际上也并没有绝对的防御方式，我们所能做的也就是不断提高攻击者的成本。

@tftk 愿闻其详

@CrazySpiderMan
客气啦，我觉得 p2pspider 也很不错，这个想法很棒，再完善完善，可能成为一个超叼的开源项目

大家一起加油⛽️⛽️

感觉楼主这个有点走偏了，满满的求 star 味道，这样求来的 star 是木有意义的

个人认为开源一个项目，重要的是能给其他人带来价值，这样自然会有 star

ps ：建议先把文档弄好，这样 star 才会多，而不是说到了 1000star 才放文档...

通知一下，经过这段时间的开发， VeryNginx 有了一个大更新，也修正了不少 bug

现已经合并到 master 了，作为 v0.2-beta 版本发布了

主要变更见：
https://www.v2ex.com/t/257521#reply11

呃，那个，最早的版本确实有不少奇怪的 bug ，大家抽空及时更新吧
@wph95 @rrfeng @kenneth @withrock

@canglaoshi

可以的，已经在排着啦

Rails 笑了

@kmahyyg

接上一条

要注意的是，如果连接数目大，或者使用了缓存的情况下， Nginx 也会使用更多的内存

@kmahyyg

和 Nginx 官方版本相比，多了个 Lua 解释器，另外使用了 21M 的共享内存，并没有哪儿用到大内存

在我本地用作反向代理的情况下，大概占用不到 100M

要注意的是，如果连接数目大，或者使用了缓存

@liwanglin12

让我们一步步向前走，先把基本功能做好了...

@Yamade 你是说 IP 黑名单吗，在 IP 过滤里面配置就可以了

@xuhaoyangx 对的，让 VeryNginx 目录对 nginx 进程可写就行了，因为会保存配置在里面

@Livid 对的，目前的看不到绝对意义上的实时流量。一个请求的流量需要到这个请求结束之后才会反映出来，也就是大文件下载的话，会在这个请求结束之后出现在图表上

@lj0014

URI 统计有两组，一组是从 Nginx 启动之后的全部统计结果，一组是每分钟清空的统计结果
这部分我详细写一下，回头整理进 readme 吧