Linux簡(jiǎn)單的防止CC攻擊

Nginx 0.7開(kāi)始提供了2個(gè)限制用戶(hù)連接的模塊：NginxHttpLimitZoneModule 和 NginxHttpLimitReqModule。NginxHttpLimitZoneModule可以根據條件進(jìn)行并發(fā)連接數控制。NginxHttpLimitReqModule可以根據條件進(jìn)行請求頻率的控制。http {limit_zone my_zone $binary_remote_addr 10m;limit_req_zone $binary_remote_addr zone=my_req_zone:10m rate=1r/s;}server {...location ~ ^/blog/(index|forumdisplay|viewthread).php$ {limit_conn myzone_bbs 3;limit_req zone=bbs burst=2 nodelay;...}

應用這條規則后，blog目錄下的index.php、forumdisplay.php和viewthread.php這些頁(yè)面同一個(gè)IP只許建立3個(gè)連接，并且每秒只能有1個(gè)請求（突發(fā)請求可以達到2個(gè)）。
另外我們可以找個(gè)腳本來(lái)封攻擊者的IP.訪(fǎng)問(wèn)者通過(guò)瀏覽器正常訪(fǎng)問(wèn)網(wǎng)站，與服務(wù)器建立的連接一般不會(huì )超過(guò)20個(gè)，我們可以通過(guò)腳本禁止連接數過(guò)大的IP訪(fǎng)問(wèn)以下腳本通過(guò)netstat命令列舉所有連接，將連接數最高的一個(gè)IP如果連接數超過(guò)150，則通過(guò) iptables 阻止訪(fǎng)問(wèn)：建立腳本vi stop.sh

#!/bin/shstatus=`netstat -na|awk '$5 ~ /[0-9]+:[0-9]+/ {print $5}' |awk -F ":" -- '{print $1}' |sort -n|uniq -c |sort -n|tail -n 1`NUM=`echo $status|awk '{print $1}'`IP=`echo $status|awk '{print $2}'`result=`echo "$NUM > 150" | bc`if [ $result = 1 ]thenecho IP:$IP is over $NUM, BAN IT!/sbin/iptables -I INPUT -s $IP -j DROPfi

運行crontab -e，將上述腳本添加到crontab每分鐘自動(dòng)運行：*/1 * * * * /root/stop.sh