终于想到比较好的CC检测方法了

freebsd · 发表于 2009-10-14 08:34:19

基本上能百分百检测到以往受到过的CC攻击，百分百判定攻击的IP。

这段时间经常有人大半夜我人不在的时候CC攻击，但每次攻击的时间都不长，不知道发什么神经病，有什么目的，以前都是要人工处理才能缓解的，现在基本上可以自动处理了，人不在的时候也放心了。

不过不太完美，有一定的作用延时，判断的方法如果被知道也能比较方便的避开，最终能抗的肉鸡数量还要取决于服务器的性能。总归是易攻难守啊。只有期望将来IPv6普及了，想来能有些改善。

cpuer · 发表于 2009-10-14 09:29:30

是在服务器上做什么设置么？

freebsd · 发表于 2009-10-14 10:00:53

没改什么设置，只是改进了判别的算法，以前没注意到可以那样子去检测的。

可以检测我自己网站以前受到过的所有CC类的攻击。。其实还不是完美，如果知道检测的原理，容易避开。。。我还其他想法，更完美的，不过编程上有点复杂，有时间的时候再进一步实验。

cpuer · 发表于 2009-10-14 11:40:54

原帖由 freebsd 于 2009-10-14 10:00 发表

没改什么设置，只是改进了判别的算法，以前没注意到可以那样子去检测的。

可以检测我自己网站以前受到过的所有CC类的攻击。。其实还不是完美，如果知道检测的原理，容易避开。。。我还其他想法，更完美的，不过编程上有点复杂，有 ...
能PM告知下不，丰富知识

zyypp · 发表于 2009-10-14 19:41:14

也PM 我一份吧谢谢啦让我也研究研究呵呵

hackren · 发表于 2009-10-14 21:56:23

PM吧，大哥，我已经快不行了！天天收折磨

cpuer · 发表于 2009-10-15 09:26:37

你的是被CC？

zyypp · 发表于 2009-10-15 09:55:04

我记得 hackren他没说CC攻击吧

freebsd · 发表于 2009-10-15 12:41:05

晕倒，就是因为无法透露我才没办法说，否则搞CC的改进一下就可以避开我的方法了。仔细分析一下攻击的web日志特点，多少就能明白的，虽然各种CC攻击程序的日志各不相同，但是他们有一个共同的特点(到目前为止，我受到的数十次大大小小的攻击都有这个特点)。。。其实这个特点也容易改变的但却是到现在为止我碰到的都有。检查出这个特点，就能分析出攻击的IP了。

今天早上再次更新了一下方法，基本上不会误判正常浏览的用户了，昨天的误杀还是挺高的

freebsdcpuer · 发表于 2009-10-15 12:41:41

最好用freebsd，freebsd存放封IP的是用表的，效率非常高，可以存放比较多的IP，也就是抗CC肉鸡的数量比较高。。CentOS 是一个个规则的方式添加的，效率浪费严重，能抗的肉鸡数量少。

呵呵，我努力学习。