精簡(jiǎn)“入口”延緩“擁堵”Discuz!教你如何用最經(jīng)濟(jì)的方式...

我是小站長(zhǎng)

很多站長(zhǎng)受到 CC 攻擊的困擾，經(jīng)常會(huì)聽(tīng)到這樣的聲音：“唉，我的網(wǎng)站又被攻擊了？該如何處理？” Discuz!用最經(jīng)濟(jì)（不用花錢(qián)）的方式采用延緩訪問(wèn)的特性助您抵御 CC 攻擊。

我的站被黑了，是CC攻擊？木馬？還是？

前不久一位朋友很焦急的問(wèn)我，“親，我站點(diǎn)好像被黑了，不知是被CC了還是中了木馬，會(huì)員們都抱怨半天打不開(kāi)，真是急死我了。”這種問(wèn)題可能很多做站的朋友都遇到過(guò)，其實(shí)了解了 CC 攻擊的原理就很容易分辨出來(lái)。

攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對(duì)方器造成器資源耗盡，一直到宕機(jī)崩潰。攻擊者利用 CC 的這個(gè)特點(diǎn)模擬 N 個(gè)用戶并發(fā)連接，而這些連接都是真實(shí)、分散的，CC 攻擊的請(qǐng)求全都是有效的請(qǐng)求，無(wú)法拒絕的請(qǐng)求，不易被察覺(jué)，那么后果就是站點(diǎn)的頁(yè)面訪問(wèn)速度集聚下降，用戶訪問(wèn)的時(shí)候變的非常非常慢。
所以當(dāng)我們的站點(diǎn)變的比以往慢很多倍的時(shí)候就有可能是被 CC 攻擊了。

站點(diǎn)慢了，實(shí)際上是并發(fā)連接太多，也就是堵了，空間一直處于飽和狀態(tài)，那么我們必須逐步的延緩還在排隊(duì)的并發(fā)連接進(jìn)入。
用最經(jīng)濟(jì)的方式抵御CC攻擊

了解CC攻擊的原理以后，我們就想提前防御類似的攻擊，以免給站點(diǎn)帶來(lái)安全隱患，可以安裝防CC攻擊軟件，但這些都不是免費(fèi)的。而 Discuz!不用在服務(wù)器上安裝防CC軟件，為了有效的預(yù)防被CC攻擊，內(nèi)置了$_config['security']['attackevasive'] CC攻擊防御，可以設(shè)置站點(diǎn)的防御級(jí)別，參數(shù)有1｜2｜4｜8，可以互相組合，來(lái)防止大量的非正常請(qǐng)求和正常請(qǐng)求造成的拒絕服務(wù)攻擊。
看到這里很多朋友肯定有點(diǎn)暈，1｜2｜4｜8 是做什么的，這些數(shù)字代表什么意思，我要怎么設(shè)置比較合理？請(qǐng)大家仔細(xì)往下看：

1代表cookie 刷新限制
當(dāng)同一個(gè) cookie 請(qǐng)求大于或等于 1 秒時(shí)刷新，將被限制訪問(wèn)。

2代表限制代理訪問(wèn)

大家應(yīng)該都理解什么是代理訪問(wèn)吧？這里就不詳細(xì)解釋了，相信很多站長(zhǎng)朋友對(duì)代理訪問(wèn)比較熟悉。
利用代理訪問(wèn)是比較常用的一種攻擊手段，因?yàn)榇砜梢杂行У仉[藏自己的身份，也可以繞開(kāi)所有的防火墻，因?yàn)榛旧纤械姆阑饓Χ紩?huì)檢測(cè)并發(fā)的TCP/IP連接數(shù)目，超過(guò)一定數(shù)目一定頻率就會(huì)被認(rèn)為是Connection-Flood。
使用代理攻擊還能很好的保持連接，我們這里發(fā)送了數(shù)據(jù)，代理幫我們轉(zhuǎn)發(fā)給對(duì)方服務(wù)器，我們就可以馬上斷開(kāi)，代理還會(huì)繼續(xù)保持著和對(duì)方連接(有人利用2000個(gè)代理就能產(chǎn)生 35 萬(wàn)并發(fā)連接)。
所以限制代理訪問(wèn)可以有效防御CC攻擊。

4代表二次請(qǐng)求
開(kāi)啟了二次請(qǐng)求機(jī)制，先顯示等待 2 秒重新加載然后才會(huì)跳轉(zhuǎn)出真實(shí)的帖
8代表回答問(wèn)題
當(dāng)?shù)谝淮卧L問(wèn)時(shí)需要回答問(wèn)題
答案正確后才可以看到頁(yè)面的具體內(nèi)容。

了解了這些數(shù)字參數(shù)的涵義，我們?cè)O(shè)置起來(lái)就容易的多了，比如我設(shè)置成 1|2|4 就代表限制cookie刷新+限制代理訪問(wèn)+開(kāi)啟二次請(qǐng)求。

站點(diǎn)該怎么設(shè)置呢？

通過(guò)上面的概念性了解，實(shí)際的操作開(kāi)始了，必須要在站點(diǎn)的配置文件中設(shè)置正確合理后，才可有效防御CC攻擊。
找到站點(diǎn)程序的 config 文件夾，打開(kāi) config_global.php 文件，找到

1. $_config['security']['attackevasive'] = '0';

復(fù)制代碼

進(jìn)行修改即可，0為關(guān)閉防御，打開(kāi)防御可以把0修改為組合的形式，組合為: 1|2, 1|4, 2|8, 1|2|4...等

建議大家使用下面的設(shè)置方案：

1. $_config['security']['attackevasive'] = 1|2|4;

復(fù)制代碼

此方案可以通過(guò)延緩訪問(wèn)的方式，減輕訪問(wèn)量較大的站點(diǎn)的服務(wù)器壓力。
希望本文對(duì)各位站長(zhǎng)朋友有所幫助，有不明白的地方大家可以回帖詳細(xì)說(shuō)明。

dq10000

除了改參數(shù)還要設(shè)置哪里呢

耗子

這么做。其實(shí)對(duì)SEO有的時(shí)候不是很友好！

xzaxza

這個(gè)1  2   4    修改后，會(huì)存在你自己訪問(wèn)都需要驗(yàn)證碼，很不友好

jiangchuankyo

你這這做,游客訪問(wèn)就需要手動(dòng)驗(yàn)證了, 搜索引擎會(huì)判斷成非正常網(wǎng)站, 會(huì)K站, 別人的目的就達(dá)到了

一葦過(guò)江

我只選擇了“2”

bv2000

學(xué)習(xí)了，受益

skyer

這是一個(gè)值得思考的問(wèn)題，想馬兒跑又不想讓馬兒吃飽。