全球主机交流论坛

标题: 好吧,如约发防CC示范站和CC监控 anti-cc.com [打印本页]
作者: renguoshi    时间: 2012-2-13 19:03
标题: 好吧,如约发防CC示范站和CC监控 anti-cc.com
本帖最后由 renguoshi 于 2012-2-14 11:22 编辑


补充:第一阶段测试完毕,总结见http://loc.mjj8.eu.org/thread-105290-1-2.html
为了保留流量让大家测试,在第二版本修改后会重新上线。
------------------------------
anti-cc.com
大家最好爱惜它,否则就没得玩了...
我先介绍下它的配置:
硬件: 1个VPS. directspace 2美元那个.
防cc web服务器: tagcgi.
blog程序:cgiblog.
cc实时监控: 一个用 html写的动态程序,来自tagcgi的实例程序.我把我的web服务器的CC数据用他们的数据同步功能同步到他们的网站. 其代码只有数十行.惊人吧.自己点右键就可以查看源码去吧. http://3.tagcgi.com/view.html

首先,这站是来防cc的,流量攻击之类的,我可没说能解决.这个还得靠硬防.但dd攻击也做了些优化.如果有什么遗漏的或建议,欢迎大家踊跃提出.我继续改正并回馈给大家.
  好了,现在先说防cc.
  防cc不能只靠连接数并发限制.因为如果有大量不同IP的计算机同时连接时.设了并发次数也没有用,而且如果并发次数设置过小,很容易影响正常访问.并发次数设置可以有,可作为防cc检测的配合手段.比如检测有某个IP并发超过了某个限制,这时候,可以启动防cc验证.当小于某个数值时,可以停止CC检测.因为cc检测需要代价,在适当的时候启动或停止它就够了.但也不能超过门槛,你就不能让人家访问了...或者想对低并发的请求开启防cc检测,那也是可以的~~~
  来说防cc检测.这里有2种方法.1是假人检测,就是验证是否是浏览器发送的数据,如果是就允许访问,如果不是就拒绝访问或者也可以选择转入第二个环节->图像验证码. 假人检测有多种方法.如果你用心的话,算法很容易破解.但据说tagcgi的牛人发明了一种方法.在明知算法的前提下,也基本无法进行攻击.我就用了这个,这个要感谢他们提供给我.谢谢~~. 不过方**在测试改进,我也做出了很多贡献,要求永久免费~~~.
  第二个防cc检测环节是图像验证码,这个不需要多解释.图像验证码可以选择在什么时候启用呢? 可以在每次访问都通过了假人检测,但是仍然超过了某个并发限制(你自己随便设),这时候,你可以选择启动图像验证码.
  来说dd,为了尽量减少dd的影响,我用iptables设置了轻量级防sync,其设置资料网上都有,具体怎么用,自己去查去吧.
另外我还有些自己的想法,反馈给tagcgi了.据说正在修改.大家如果有什么指教或建议,不妨留言给我.防cc的配置文件怎么用,我在下帖详细介绍.

上次发了个反向代理防cc的配置文件,这儿有个全版的防cc web服务器的配置文件.

#域名或者服务器ip
#是否开启假人防护,如果设置成1,会每个请求都进行验证,建议这儿不要开启,设成自动开启,就是IP每秒超过多少并发时再开启.
DEFENDCC=1
#单ip每秒最大并发,如果超过了这个并发。会开启图片验证。
CCCOUNT=10
#cc防护的强度。没看太明白。
CCDEFINEDCOMPLEX=88000

#是否开启计算机验证。这个默认是开启的,否则只剩下图片验证了。
#CCCERTIFY=1
#只对单ip的第一次请求进行计算机验证。
#ONLYFIRSTCOMPUTERIDENTIFICATION=1

#是否开启动态防护,就是默认不开启cc防护,因为会有性能损失。但是每秒单ip的访问如果超过限制的某个值时,会开启cc计算机防护。
#AUTOANTICC=1
#这是那个阀值
#COUNTAUTOOPENPERSECOND=15
#是否记录cc日志,这个可以通过专门软件,实时察看cc情况.
LOGCC=1
#返回给客户,告诉他,你正在cc~~~
NOTIFCLIENTYCC=1
#定义cc ip的拒绝策略. 设为1是只要攻击ip停止了cc攻击.就重新允许它访问.设为2就是永久拒绝访问.设为3为自定义时间.
AFTERCC=1
#自定义cc后,多久可让cc ip访问.
AFTERCCTIME=20

#最大允许多少次图像验证
PICTUREVERIFYLIMIT=10
#最大允许多少次计算机假人验证
COMPUTERVERIFYLIMIT=2
#这个是同步cc纪录到其他服务器.这样,可以在其他服务器上监控cc的实时情况了.在那个服务器上装个监控网页也就行了.关于监控的网页,请看专门的帖子.
SYNCCCRECORD=1
#启用静态文件防CC
CCDEFINEDSTATICCOUNT=20


此项技术,我正在测试,请大家轻点C. 如果有收获,也算共享给大家.如果有不足.那也请多提宝贵意见.
作者: master    时间: 2012-2-13 19:06
oh yeah 技术帝献身
作者: 软件风暴    时间: 2012-2-13 19:07
技术帝 哦也
作者: 杀杀杀    时间: 2012-2-13 19:07
错误 324 (net::ERR_EMPTY_RESPONSE):服务器已断开连接,且未发送任何数据。

作者: meta168    时间: 2012-2-13 19:08
膜拜技术帝
作者: 违法主机    时间: 2012-2-13 19:08
不会用
作者: renguoshi    时间: 2012-2-13 19:09
杀杀杀 发表于 2012-2-13 19:07
错误 324 (net::ERR_EMPTY_RESPONSE):服务器已断开连接,且未发送任何数据。

...

估计你被禁了,去http://3.tagcgi.com/view.html 认领自己的IP吧
作者: qun    时间: 2012-2-13 19:11
技术帝
作者: ivv    时间: 2012-2-13 19:11
学习
作者: qiqi13245    时间: 2012-2-13 19:11
renguoshi 发表于 2012-2-13 19:09
估计你被禁了,去http://3.tagcgi.com/view.html 认领自己的IP吧

误报率过大啊
另外这玩意也没毛用 万一一百台肉鸡 来帮你刷刷流量呢 图形验证码也是需要库处理的 另外对于UDP 直接机房扯线

另外啊 我只想说万一有网吧 有什么什么什么什么的 你让别人打开一次 输一次验证码
还有就是手机WAP了 这点我就不解释了 wap接入点代理
作者: qiqi13245    时间: 2012-2-13 19:12
renguoshi 发表于 2012-2-13 19:09
估计你被禁了,去http://3.tagcgi.com/view.html 认领自己的IP吧

另外iptables也需要资源的 另外被DDOS后流量还是跑母鸡上的
作者: renguoshi    时间: 2012-2-13 19:15
大家注意, 只有在CC攻击停止的情况下,你才能在 http://3.tagcgi.com/view.html 看到你的攻击记录,估计因为是考虑性能问题.防cc web服务器在空闲时,才做cc纪录和同步.  大家最好保留1个正常访问的IP.否则会被永久禁掉. 这个是默认策略.明天我改下.
作者: qiqi13245    时间: 2012-2-13 19:16
renguoshi 发表于 2012-2-13 19:15
大家注意, 只有在CC攻击停止的情况下,你才能在 http://3.tagcgi.com/view.html 看到你的攻击记录,估计因为 ...

我记得有一个软件叫什么ddos d什么的 还很给力
作者: 用户名    时间: 2012-2-13 19:18
太棒了
作者: renguoshi    时间: 2012-2-13 19:19
qiqi13245 发表于 2012-2-13 19:11
误报率过大啊
另外这玩意也没毛用 万一一百台肉鸡 来帮你刷刷流量呢 图形验证码也是需要库处理的 另外对 ...

   我设了个过快访问禁止,明天调下, 这个防cc不是靠并发次数来检测的.  理论上,虚假访问在第2次访问时就会被禁掉.
作者: qiqi13245    时间: 2012-2-13 19:20
renguoshi 发表于 2012-2-13 19:19
我设了个过快访问禁止,明天调下, 这个防cc不是靠并发次数来检测的.  理论上,虚假访问在第2次访问时就 ...

蜘蛛行为 我就不解释这个了 随便hook一个ie浏览器即可
作者: qiqi13245    时间: 2012-2-13 19:22
Plese verify the picture

嗯哼?我用的是chrome哦
作者: qiqi13245    时间: 2012-2-13 19:23
错误 324 (net::ERR_EMPTY_RESPONSE):服务器已断开连接,且未发送任何数据。
好吧 就这个样子
我还是不期望拿来做载入项较多的网站了
放放html还是不错的

另外我再补一句 网速慢的情况有无考虑 访客多次刷新的情况呢
作者: renguoshi    时间: 2012-2-13 19:26
qiqi13245 发表于 2012-2-13 19:23
错误 324 (net::ERR_EMPTY_RESPONSE):服务器已断开连接,且未发送任何数据。
好吧 就这个样子
我还是不期 ...

这就是被禁的一种处理.  这个站全是动态内容. html后缀只是表象.
你用一个IP正常访问.另外的IP攻击,你就能看到效果
作者: qiqi13245    时间: 2012-2-13 19:28
本帖最后由 qiqi13245 于 2012-2-13 19:41 编辑
renguoshi 发表于 2012-2-13 19:26
这就是被禁的一种处理.  这个站全是动态内容. html后缀只是表象.
你用一个IP正常访问.另外的IP攻击,你 ...


这就是正常访问
我就好奇点了个贴进去
另外你是不是没理解我的意思
麻烦你打开firedebug 看看一秒载入了多少东西 css什么的很蛋疼的说
还有两种极端情况
万一网速快 触发规则呢?
万一网速慢 连接建立过多 触发呢?


另外我的html你可以理解为单网页 无任何include
作者: renguoshi    时间: 2012-2-13 19:28
qiqi13245 发表于 2012-2-13 19:22
Plese verify the picture

嗯哼?我用的是chrome哦

连续用浏览器过快刷新,我也是视为cc行为的. 因为我会开启验证码.如果多次输入错误.也认为是cc了.不过这个策略可以更改.
作者: qiqi13245    时间: 2012-2-13 19:29
renguoshi 发表于 2012-2-13 19:28
连续用浏览器过快刷新,我也是视为cc行为的. 因为我会开启验证码.如果多次输入错误.也认为是cc了.不过这 ...

直接验证码出不来   然后我按了下提交表示就被BAN了 你装个discuz试试?
作者: Kokgog    时间: 2012-2-13 19:30
防cc是检测数据异常后的被动行为, 不是web常规行为
作者: qiqi13245    时间: 2012-2-13 19:32
Kokgog 发表于 2012-2-13 19:30
防cc是检测数据异常后的被动行为, 不是web常规行为

同 这点非常赞同 一个软件 都有规则 也有错误率
另外只有在网站异常的 时候 才开启的功能
另外普通的话可以通过limite_req限制下就行了 不会影响网站打开 只不过会限制连接数 如果东西多wait会稍微长一点
作者: renguoshi    时间: 2012-2-13 19:33
qiqi13245 发表于 2012-2-13 19:29
直接验证码出不来   然后我按了下提交表示就被BAN了 你装个discuz试试?

不可能吧.我是没遇到过.
我有个正常访问开启图像检测的设置.把它调高就可以解决.  有问题是正常的. 相互提高,共同进步.
作者: qiqi13245    时间: 2012-2-13 19:34
renguoshi 发表于 2012-2-13 19:33
不可能吧.我是没遇到过.
我有个正常访问开启图像检测的设置.把它调高就可以解决.  有问题是正常的. 相互 ...

一个叉 我提交 就报错 返回刷新 出拒绝
作者: renguoshi    时间: 2012-2-13 19:37
qiqi13245 发表于 2012-2-13 19:34
一个叉 我提交 就报错 返回刷新 出拒绝

恩,我记下来,不一定稳定,查查怎么回事. 谢谢你也研究下原理.有问题提出来,一起讨论. 我先回家吃饭了.回头聊
作者: nbahost.com    时间: 2012-2-13 19:41
这个是什么
作者: 有个就好    时间: 2012-2-13 19:44
闲人
作者: renguoshi    时间: 2012-2-13 21:16
qiqi13245 发表于 2012-2-13 19:32
同 这点非常赞同 一个软件 都有规则 也有错误率
另外只有在网站异常的 时候 才开启的功能
另外普通的话 ...

吃完饭了,来讨论下

web服务的防CC的开启是有门槛的. 但跟web服务器有没有防CC功能无关. web服务器工作在TCP层. 如果依靠上层程序检测的话,是一种方法,可以类似成为被动防御. 但web服务器如果做防cc的话,是可以做主动防御的.这个必须得web服务的层次做才行.具体方法,我发的帖子里说了些.
作者: renguoshi    时间: 2012-2-13 21:18
renguoshi 发表于 2012-2-13 21:16
吃完饭了,来讨论下

web服务的防CC的开启是有门槛的. 但跟web服务器有没有防CC功能无关. web服务器 ...

单纯限制每秒的并发,是没办法处理多台肉鸡同时访问的. 多台肉鸡同时访问的情况,在数量不构成流量攻击的前提下,在理论上是可以处理的很好的.
作者: renguoshi    时间: 2012-2-13 21:21
qiqi13245 发表于 2012-2-13 19:20
蜘蛛行为 我就不解释这个了 随便hook一个ie浏览器即可

这种劫持浏览器的cc攻击方法,理论上是可以防止的. 具体原理很简单,而且有人已经申请了国际专利. 如果web服务器的一条指令. 就需要浏览器花一定的时间去计算,才能形成有效访问的话,这就形不成cc攻击了.而且浏览器所花的时间.是由web服务器决定的.
作者: oldghost    时间: 2012-2-13 21:28
技术帝啊
作者: renguoshi    时间: 2012-2-13 21:31
说过了不防DD的. 肯定被D趴下了
本人目的是为了交流防cc技术.  还是只c不要d吧.否则太不好玩了.
作者: cquyf    时间: 2012-2-13 21:31
白膜啊
作者: Kokgog    时间: 2012-2-13 21:32
http://loc.mjj8.eu.org/thread-93450-1-1.html

我替自己ad来着
作者: renguoshi    时间: 2012-2-13 21:35
Kokgog 发表于 2012-2-13 21:32
http://loc.mjj8.eu.org/thread-93450-1-1.html

我替自己ad来着

,帮你AD

如果只靠php等上层程序ban IP的话, 等于把php或者上层程序的容器也拉到cc的攻击范围内了,容器就算执行10条语句,就把那个IP ban掉,那也是不小的代价.  
作者: kuku    时间: 2012-2-13 21:42
膜拜
作者: 我来发    时间: 2012-2-13 21:45
不懂,菜鸟我是
作者: tmuc    时间: 2012-2-14 10:10
收藏,谢谢
作者: 违法主机    时间: 2012-2-14 10:26
挂 了?
作者: domin    时间: 2012-2-14 11:11
不懂求带
作者: renguoshi    时间: 2012-2-14 11:18
违法主机 发表于 2012-2-14 10:26
挂 了?

看弟弟妹妹那贴
作者: 银网小吴    时间: 2012-2-14 13:52
支持技术帝



欢迎光临 全球主机交流论坛 (https://loc.mjj8.eu.org/) Powered by Discuz! X3.4