CC***可以归为DDoS***的一种。他们之间都原理都是一样的,即发送大量的请求数据 来导致服务器拒绝服务,是一种连接***。CC***又可分为代理CC***,和肉鸡CC***。代理CC***是***借助代理服务器生成指向受害主机的合法网页请 求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC***是***使用CC***软件,控制大量肉鸡,发动***,相比来后 者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法数据包。防御CC***可以通过多种方法,禁止网站代理访问,尽量将网站做成静态页 面,限制连接数量等。

 

Nginx是一款轻量级的Web服务器,由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引Rambler使用。 其特点是占有内存少,并发能力强,事实上Nginx的并发能力确实在同类型的网站服务器中表现较好。

Nginx虽然可以比Apache处理更大的连接数,但是HTTP GET FLOOD针对的不仅仅是WEB服务器,还有数据库服务器。大量HTTP请求产生了大量的数据库查询,可以在几秒之内使数据库停止响应,系统负载升高,最终导致服务器当机。

本文主要介绍CentOS+Nginx下如何快速有效得防御CC***。至于如何安装Nginx就不详细介绍了,有兴趣的读者可以在Nginx官方网站 (http://www.nginx.org/)下载源代码进行编译。如果你使用的是Centos5,也可以使用rpm包进行安装(http: //centos.alt.ru/repository/centos/5/i386/nginx-stable- 0.7.65-1.el5.i386.rpm)。

 


主动抑制方法

为了让Nginx支持更多的并发连接数,根据实际情况对工作线程数和每个工作线程支持的 最大连接数进行调整。例如设置“worker_processes 10”和“worker_connections 1024”,那这台服务器支持的最大连接数就是10×1024=10240。



worker_processes 10;


events {


use epoll;


worker_connections 10240;


}


 

Nginx 0.7开始提供了2个限制用户连接的模块:NginxHttpLimitZoneModule和NginxHttpLimitReqModule。NginxHttpLimitZoneModule可以根据条件进行并发连接数控制。

例如可以定义以下代码:

 



http {


limit_zone   my_zone  $binary_remote_addr  10m;


server {


location /somedir/ {


limit_conn   my_zone  1;


}


}


}


 

其中“limit_zone my_zone $binary_remote_addr 10m”的意思是定义一个名称为my_zone的存储区域、my_zone中的内容为远程IP地址、my_zone的大小为10M;“location /somedir/”的意思是针对somedir目录应用规则;“limit_conn my_zone 1”的意思是针对上面定义的my_zone记录区记录的IP地址在指定的目录中只能建立一个连接。

NginxHttpLimitReqModule可以根据条件进行请求频率的控制。例如可以定义以下代码:

 



http {


limit_req_zone  $binary_remote_addr  zone=my_req_zone:10m   rate=1r/s;


...


server {


...


location /somedir/ {


limit_req_zone   zone= my_req_zone  burst=2;


}


Discuz!是使用比较多的一个php论坛程序。以Discuz!7.0为例,程序目 录下有比较多的可以直接访问的php文件,但其中最容易受到***的一般有index.php(首页)、forumdisplay.php(板块显示)、 viewthread.php(帖子显示)。***者一般会对这些页面发起大量的请求,导致HTTP服务器连接数耗尽、mysql数据库停止响应,最终导致 服务器崩溃。为了防止上述页面被***,我们可以设定以下的规则进行防御:
 



http {


limit_zone   myzone_bbs  $binary_remote_addr  10m;


limit_req_zone $binary_remote_addr zone=bbs:10m rate=1r/s;


...


server {


...


location ~ ^/bbs/(index|forumdisplay|viewthread).php$ {


limit_conn   myzone_bbs  3;


limit_req zone=bbs burst=2 nodelay;


root   html;


fastcgi_pass   unix:/dev/shm/php-cgi.sock;


fastcgi_index  index.php;


fastcgi_param  SCRIPT_FILENAME  /usr/share/nginx/html$fastcgi_script_name;


includefastcgi_params;


}


}


}


应用这条规则后,bbs目录下的index.php、forumdisplay.php 和viewthread.php这些页面同一个IP只许建立3个连接,并且每秒只能有1个请求(突发请求可以达到2个)。虽然这样的规则一般来说对正常的 用户不会产生影响(极少有人在1秒内打开3个页面),但是为了防止影响那些手快的用户访问,可以在nginx中自定义503页面,503页面对用户进行提 示,然后自动刷新。在Nginx中自定义503页面:
error_page   503   /errpage/503.html;

503页面的源代码:

 




<html>


< head>


< title>页面即将载入....</title>


< meta http-equiv=content-type c>


< META NAME="ROBOTS" C>


< /head>


< body bgcolor="#FFFFFF">


< table cellpadding="0" cellspacing="0" border="0" width="700" align="center"height="85%">


<tr align="center" valign="middle">


<td>


<table cellpadding="10" cellspacing="0" border="0" width="80%" align="center"style="font-family: Verdana, Tahoma; color: #666666; font-size: 11px">


<tr>


<td valign="middle" align="center" bgcolor="#EBEBEB">


<br /><b style="font-size: 16px">页面即将载入</b>


<br /><br />你刷新页面的速度过快。请少安毋躁,页面即将载入...


<br /><br /> [<a href="javascript:window.location.reload();">< fontcolor=#666666>立即重新载入</font></a>]


<br /><br />


</td>


</tr>


</table>


</td>


</tr>


< /table>


< /body>


< /html>


< SCRIPT language=javascript>


function update()


{


window.location.reload();


}


setTimeout("update()",2000);


< /script>