以下是一个简单的 Nginx 配置文件,用于防止 CC 攻击:
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
listen 80;
server_name example.com;
location / {
limit_req zone=one burst=5;
proxy_pass http://your_backend;
}
}
}
上面的配置文件使用 Nginx 的 limit_req 模块来限制单个客户端对该站点的请求速率。每个客户端每秒最多只能发送 1 个请求。如果请求速率超过了 1r/s,则 Nginx 将向该请求返回 503 错误。
请注意,以上配置仅是简单的示例,您可以根据自己的需求对其进行调整。如果您的网站有更高的请求量,您可以适当提高请求速率。另外,您可以通过扩大请求缓冲区(即 burst 参数)来更好地应对突发流量。
高防服务器无视CC是真的假的?
会使用到高防服务器的客户恐怕都看到过商家无视CC的宣传。
无视CC到底是真的假的?
先说结论,假的!CC攻击都是通过大量的代理IP进行的,而且现在的CC不像早几年那样跟个低能儿似的一直打一个网址。现在的CC可以说是防不胜防,你只能拦截部分,提高他们的攻击成本。想要全拦截是不可能的事情。
要知道CC攻击模拟的是正常访客浏览,假如他1个代理IP,1分钟访问个十来页你还真敢禁了不成?真实访客刷个几十页的都有!如果网站有交易,客户正在付款突然打不开了。他还敢继续付?万一你网站关闭跑路了呢?
为什么有些商家要宣传无视CC?
是为了甄别客户!简单来说,相信的要么是没有接触过这方面知识,要么是傻。这两种客户都是他们忽悠的对象。总之会相信无视CC的更容易成交。
目前防CC攻击都在怎么做?
1.检测用户行为
这方面方式也挺多的。比如访问频率检测、浏览器JS验证、验证码验证等等
2.检测用户行为+恶意IP库匹配
检测用户行为异常,然后匹配恶意IP库,只要存在直接封。这个挺多公司在用这种方式。
以上两种基本是目前防护CC主要采取的方式。不差钱的可能直接升级服务器配置+网站优化这种方式来防护了。比如选台高配大带宽的服务器,网页生成静态文件。这样1台1核2G,5M的服务器就能抗很高的并发访问。更何况大多数服务器都是高配置的独立服务器,带宽有的甚至是100M、1000M的。
我公司提供高配大带宽的服务器租用:联系QQ:28575315
电信 (江苏) L5520*2/16G/1T(120G SSD)/10M 299元/月
电信 (江苏) L5520*2/16G/480G SSD/10M 399元/月
BGP(洛阳) L5630*2/16G/1T/10M 399元/月
BGP(洛阳) E5-2450L*2/32G/480G(SSD)/10M 499元/月
移动 (河南) L5630*2/16G/1T(240G SSD)/100M 499元/月
移动 (河南) E5-245L*2/32G/2T/100M 599元/月
联通 (河南) L5630*2/16G/1T(240G SSD)/100M 599元/月
联通 (河南) E5-2650*2/32G/2T(480G SSD)/100M 699元/月
电信 (江苏) L5520*2/16G/1T(120G SSD)/100M 799元/月
电信 (江苏) L5630*2/16G/480G SSD/100M 899元/月
BGP(新乡) L5630*2/16G/1T/100M 1999元/月
BGP(新乡) E5-2450L*2/32G/2T/100M 2199元/月
部分服务器有金盾硬件防火墙,可以防护一定的CC攻击和DDOS。详情咨询下方客服QQ
租用联系QQ:28575315
使用宝塔linux面板很多用户受到CC攻击不知如何防范。
下面讲下如何利用宝塔自带的功能来进行基本的CC防护。
首先是在nginx上有个waf安全模块,里面有CC防护设置。(要求nginx为1.12版本)如下图:
上图中CC触发频率以及周期可以根据自己实际情况设置。
触发周期短检测时间就短,适用于供给比较大的情况,频率根据自己需求设置。
另外除了在这里之外,还可以在网站上进行流量限制。如下图:
这里首先你要启用流量限制才可以。
具体参数解释
并发限制:一般一个日IP数万甚至十万的站,并发设置为一百多都可以。注意!这是并发,相当于你网站一秒钟有多少人同时进行请求。这个量很高了。
单IP限制:根据自己网站需求来设置。一般设置为5到10即可
流量限制:这个是限制单IP每个请求的流量大小。根据访客访问自己网站内容需要的流量大小来设置即可。
极端情况:如果面板根本打不开情况下使用。
面板打不开的情况下,使用SSH连接服务器,输入以下命令关闭服务器的80端口(关闭网站访问)
然后进入宝塔进行设置以上设置项。设置完毕后通过SSH再开启80端口。
命令如下:
关闭某端口
/sbin/iptables -I INPUT -p tcp –dport 端口号 -j DROP
保存修改
/etc/init.d/iptables save
重启防火墙
service iptables restart
开启某端口
/sbin/iptables -I INPUT -p tcp –dport 端口号 -j ACCEPT
查看端口状态
/etc/init.d/iptables status
举例:比如我关闭80端口就在SSH中输入以下命令
/sbin/iptables -I INPUT -p tcp –dport 80 -j DROP
然后保存设置
/etc/init.d/iptables save
然后重启防火墙生效
service iptables restart
后面再打开80端口
/sbin/iptables -I INPUT -p tcp –dport 80 -j ACCEPT
下面保存设置重启防火墙即可。
关于CC攻击,其他知识扩展:关于网站服务器的CC防护,你需要知道的事
所有依靠软件防护CC攻击都只能起到部分的效果,遇到大的攻击一切软件防护都是摆设!
需要CC硬防服务器的加QQ:28575315
网站服务器的CC防护这里分为两种情况来说
一种是网站域名直接解析到服务器IP上。
一种是域名解析到CDN上,CDN上设置源站IP为服务器IP。
一、首先说第一种直接解析源站IP。这种一般可以选择的操作比较多。主要有以下几个方式。
1.开启服务器机房的防护。一般服务器所在机房都有硬件防火墙,防护CC的效果比较好。这是最推荐的方式。缺点是可能会造成部分误封,操作不方便不能随意调整。
2.服务器内安装安全防护软件,如安全狗、云锁等。这种方式适合应对中小型CC攻击。可以有效的拦截攻击流量,并且防护策略可以根据攻击情况自己手动随时调整。
软件防护可操作空间比较大,下面再说几点:
软件防护可以开启自动处理规则,这类规则一般比较宽松。更高的就是根据来源、UA等进行判断自动处理。还可以让访客参与验证来防护CC,常见的方式是访客第一次访问时需要输入验证码访问、或者是访问时有5秒自动的安全验证来防护CC。这个安全验证主要是自动检测访客的来源、系统版本、浏览器等等来判断是否是正常访客。同时五秒的验证时间也阻止了同一IP大量频繁的向服务器发送请求。
二、第二种解析到CDN,CDN里选择填入源站IP的方式。
使用CDN的朋友需要特别注意。
因为CDN除了缓存常用资源之外,其他的资源请求也会通过CDN的节点来转发给服务器,服务器返回给CDN,CDN再返回给访客。相当于有个代理的作用。
这时候服务器开启CC防护因为CDN的大量请求,就可能把CDN的节点IP当作CC攻击者的IP。
有些CDN具有CC防护(WAF安全)的功能,可以设置防护规则,一些则是没有防护设置。比如腾讯云CDN,就没有任何安全设置。
有使用CDN,就只能在CDN上进行CC防护。
CDN有安全设置就可以在CDN上进行防护;
如果CDN上没有防护功能,还只能用CDN的话,就换个有防护的。不然只能挨打。
解释:
如果服务器将CDN节点加白名单,则所有CC攻击都会通过CDN的节点直接打入服务器。
如果不加白名单,服务器做安全设置因为请求频繁切很多是非法请求就会拦截CDN的IP。
CDN的IP大部分都不会公开,并且IP是动态会变动的。比如腾讯云:如下图
