应对网站被CC临时解决方案

回复 收藏
本帖最后由 迷城 于 2016-3-5 23:04 编辑


今晚正在吃晚饭的时候,收到SNMP监控提示,eth0网卡流出带宽发生异常。因为监控项设置的是出口流量的平均值。偶尔网站高峰期时监控项会发生告警提醒,影响并不是很大。当时并没有在意,吃过晚饭后心上去看看监控。


QQ截图20160305221527.png






登陆上服务器后输入w查看了下系统负载情况,当时惊呆了,系统负载很高、 top查看了下进程发现没有可疑进程,iftop 查看网卡流量,流量没有什么太大出口流量到一个ip上。 只是有很多ip请求80端口,随后tshark 抓了下包


QQ截图20160305223015.png




心想了下,不会又被入侵了吧。这么多ip地址不停的请求同一个URL,nm莫非这是传说中的CC攻击
由于ip地址是不停的变化,iptables也排不上用场。只有在nginx配置文件上做限制

vim编辑虚拟主机配置文件,限制request  url 同时也限制空的user_agent

  1.         if ( $request_uri  ~ "^/forum.php\?pages=78112444.*" ){
  2.         return 404;
  3.         }
  4.         if ( $request_uri  ~ "^/forum.php\?.*" ){
  5.         return 404;
  6.         }
  7.         if ($http_user_agent ~ ^$) {return 403;}
保存重启nginx,系统负载瞬间下来了, 查看下网站日志,对于限制GET 请求的URl已经返回404了。问题得到控制

QQ截图20160305230348.png




QQ图片20160305221719.png
2016-03-05 22:58 举报
已邀请:
0

balich

赞同来自:

谢谢分享!
0

fy88fy

赞同来自:

昨天正好好听了关于铭哥讲的限制user_agent这块,看样子实际中还是挺管用的.
0

阿铭 管理员

赞同来自:

不错不错,像我的手法。
0

迷城

赞同来自:

阿铭 发表于 2016-3-7 11:18
不错不错,像我的手法。

{:7_180:}
0

ldp840611

赞同来自:

我目前也遇到了这情况。我领导也同样修改了NGINX,让返回403.
0

riverxyz

赞同来自:

感谢分享!

回复帖子,请先登录注册

退出全屏模式 全屏模式 回复
评分
可选评分理由: