站点图标 谷姐靓号网

再说一下防CC的方法-heyxiu

Rate this post

看到又有MJJ问防CC的方法,说一下以前我用的方法,基本上100%防御。
以下流程都是自己在网站里添加代码实现的

1、网站上判断指定cookie是否存在,存在直接通行,正常访问。
2、cookie不存在则返回一段js代码,js设置cookie, cookie有效期10分钟,并重新reload页面。
3、页面再次判断cookie是否存在,如果cookie依然不存在,则直接调用 iptables 拉黑IP。

就这么简单,原理就是正常浏览器浏览能正常执行JS写cookie,CC攻击一般都是代理无法执行JS代码写cookie。

热议
推荐楼 Patricia 5天前

推荐楼 IDC888 5天前

iptables直接拉黑:只是不能转发流量,流量总是被deny而已,CPU还是要耗费的。正确的做法是流量牵引,通知上级路由器封这个IP,而不是自己封,个人肯定没有这种纵深防御体系的

推荐楼 By小酷 5天前

什么叫原理上就封死了,请求还是到你机器了
每秒数万请求,你机器能顶住? ...

他根本就不知道什么是攻击
还多大的流量都能顶住
纯属纸上谈兵
连封禁IP的原理都还不清楚
好像封禁IP就不需要CPU去处理数据一样 凭空处理坏请求 不发功就能干活

推荐楼 fly389 5天前

1、网站上判断指定cookie是否存在,存在直接通行,正常访问。
如果几十万个IP来访问,判断的过程是否消耗CPU和带宽呢?
2、cookie值可以是动态的,由服务端生成,例如PHP里 cookieval = md5(ip . '12345xxx'),再交给js写cookie
生成几十万个IP的cookie需要消耗多少CPU呢?

推荐楼 MyDream 5天前

楼主说的是这个吗?
访问后就会生成小尾巴,和一个 cookie
https://shop.moeclub.org/cart.php?gid=4

推荐楼 nk123 5天前

楼主光说不练,拿出你的网站,让大家试试就知道你说的方法管不管用了

推荐楼 本人马保国 5天前

多大流浪都能防啊,原理上就直接封死了

什么叫原理上就封死了,请求还是到你机器了
每秒数万请求,你机器能顶住?

推荐楼 davidsky2012 5天前

不需要CDN,你代理无法更新cookies,IP直接被拉黑了,怎么打

很多爬虫集成了v8引擎,可以执行js的。

再不济人肉解析下你的js,也能手动设置cookie。

2楼 WZ-Software 5天前

技术流mjj,一定得顶起来

3楼 本人马保国 5天前

???如果不是CDN缓存,直接打满你CPU

4楼 heyxiu 5天前

???如果不是CDN缓存,直接打满你CPU

不需要CDN,你代理无法更新cookies,IP直接被拉黑了,怎么打

5楼 本人马保国 5天前

不需要CDN,你代理无法更新cookies,IP直接被拉黑了,怎么打

小流量CC 当我没说,你可能没被大流量打过

7楼 heyxiu 5天前

小流量CC 当我没说,你可能没被大流量打过

多大流浪都能防啊,原理上就直接封死了

8楼 heyxiu 5天前

很多爬虫集成了v8引擎,可以执行js的。

再不济人肉解析下你的js,也能手动设置cookie。 ...

基本上没有集成v8的,因为那太慢了,访问一个页面得几秒钟,达不到攻击的效果。

10楼 davidsky2012 5天前

基本上没有集成v8的,因为那太慢了,访问一个页面得几秒钟,达不到攻击的效果。 ...

我说的是爬虫。攻击的话人肉解析下你的cookie,你的方法根本防不住。

12楼 heyxiu 5天前

什么叫原理上就封死了,请求还是到你机器了
每秒数万请求,你机器能顶住? ...

你没看懂我说的原理,只有第一次访问能到达机器,你第二次访问所有IP都直接被拉黑了,到不了机器

13楼 本人马保国 5天前

你没看懂我说的原理,只有第一次访问能到达机器,你第二次访问所有IP都直接被拉黑了,到不了机器 ...

哪里拉黑的?为什么到不了机器
你先搞明白这点在说吧

14楼 iiss 5天前

这种就是防君子不防小人,真有心搞你,看你的页面几秒钟就知道你用的啥方法,设置个cookie多简单。

15楼 heyxiu 5天前

哪里拉黑的?为什么到不了机器
你先搞明白这点在说吧

看第三点,cookies不对,iptables直接拉黑,iptables拉黑了你流量还能到机器?

16楼 davidsky2012 5天前

cookie值可以是动态的,由服务端生成,例如PHP里 cookieval = md5(ip . '12345xxx'),再交给js写cookie
...

你这方法php传给js的时候就被截获了,根本防不住。

你需要混淆js然后在js里进行md5而不是在php里做md5。

17楼 本人马保国 5天前

看第三点,cookies不对,iptables直接拉黑,iptables拉黑了你流量还能到机器?

你机器iptables拉黑了 流量就到不了机器?
你先搞明白这个在说

18楼 heyxiu 5天前

这种就是防君子不防小人,真有心搞你,看你的页面几秒钟就知道你用的啥方法,设置个cookie多简单。 ...

看11楼我回复,cookies的值是动态的,和IP关联,每个IP访问得到的cookie都不一样,你不知道服务端的生成算法没法手动设置cookie的

19楼 davidsky2012 5天前

你没看懂我说的原理,只有第一次访问能到达机器,你第二次访问所有IP都直接被拉黑了,到不了机器 ...

这样动态IP的遭殃了。一旦断线重新拨号,他的ip就进黑名单了。

20楼 iiss 5天前

heyxiu 发表于 2022-2-17 20:48
看11楼我回复,cookies的值是动态的,和IP关联,每个IP访问得到的cookie都不一样,你不知道服务端的生成 ...

给个网站给你上上课

22楼 heyxiu 5天前

这样动态IP的遭殃了。一旦断线重新拨号,他的ip就进黑名单了。

我举例是第二次拉黑,你可以改成第三次,这样IP变了就没问题了。

23楼 davidsky2012 5天前

你是CC攻击,IP都被iptables拉黑了,你流量还能到机器?,你那牛逼呀,我是没见过能突破TCP/IP协议的人 ...

他的意思是dd攻击你吧。

24楼 davidsky2012 5天前

我举例是第二次拉黑,你可以改成第三次,这样IP变了就没问题了。

那得有个地方记录ip对应的次数,又增加了被cc的机会。别人转而cc攻击你记录ip次数的那段逻辑了。

25楼 heyxiu 5天前

给个网站给你上上课

现在没网站用这种方法,之前的网站里用的,那个网站现在没做了。
可以说下你突破的原理

26楼 IDC888 5天前

iptables直接拉黑:只是不能转发流量,流量总是被deny而已,CPU还是要耗费的。正确的做法是流量牵引,通知上级路由器封这个IP,而不是自己封,个人肯定没有这种纵深防御体系的

27楼 heyxiu 5天前

那得有个地方记录ip对应的次数,又增加了被cc的机会。别人转而cc攻击你记录ip次数的那段逻辑了。 ...

这个次数不会被攻击,服务端用文件记录就行了,完全不消耗资源,而且真被攻击的时候,第三次你IP就被封了

28楼 本人马保国 5天前

你是CC攻击,IP都被iptables拉黑了,你流量还能到机器?,你那牛逼呀,我是没见过能突破TCP/IP协议的人 ...

你本机在怎么拉黑,实际请求还是会到你机器,机器还是会去处理这个请求
你不是上级拉黑明白吗

29楼 davidsky2012 5天前

这个次数不会被攻击,服务端用文件记录就行了,完全不消耗资源,而且真被攻击的时候,第三次你IP就被封了 ...

记录文件也消耗资源的,而且别人可以用只用v8获取初始cookie,之后的请求再全部转而用代理。兼顾速度和js的执行,你还是防不住。

30楼 heyxiu 5天前

iptables直接拉黑:只是不能转发流量,流量总是被deny而已,CPU还是要耗费的。正确的做法是流量牵引,通知 ...

iptables封了后流量到不了机器,在TCP/IP发起连接的时候就被拒绝了,没有发送数据的机会。

32楼 Patricia 5天前

33楼 heyxiu 5天前

你本机在怎么拉黑,实际请求还是会到你机器,机器还是会去处理这个请求
你不是上级拉黑明白吗 ...

TCP/IP连接请求会到机器,但是根本连不上,HTTP请求完全没机会到达机器, 更到达不了php的级别。

如果你说tcp连接请求也能打死一台机器那你是牛,就好像说通过 ping 打死一台服务器一样。

34楼 davidsky2012 5天前

iptables直接拉黑:只是不能转发流量,流量总是被deny而已,CPU还是要耗费的。正确的做法是流量牵引,通知 ...

iptables drop消耗的cpu几乎可以忽略不记。如果是dd攻击的话,主要消耗的是带宽而不是cpu。

35楼 heyxiu 5天前

记录文件也消耗资源的,而且别人可以用只用v8获取初始cookie,之后的请求再全部转而用代理。兼顾速度和js ...

每台机器的cookie都和IP关联而且可以和时间关联的,设置超时10分钟就是这个道理。
除非你每个代理都是自己控制的机器,在机器上部署自己专门写的攻击程序针对这个网站,那是厉害
但是一般这些CC攻击都是网上找的普通代理,很少有全部是自己的机器的。

36楼 iiss 5天前

现在没网站用这种方法,之前的网站里用的,那个网站现在没做了。
可以说下你突破的原理 ...

这不用怎么突破,你所有的判断逻辑都是在页面,服务端只做了拉黑一个动作,那么一定经过js,只要看一看你js的处理逻辑,有cookie带cookie,有参数带参数,压根就没难度。

37楼 davidsky2012 5天前

每台机器的cookie都和IP关联而且可以和时间关联的,设置超时10分钟就是这个道理。
除非你每个代理都是自 ...

普通代理一样可以获取cookie啊,一点问题都没有。攻击程序要自己写倒是真的,这样攻击程序也可以10分钟重新获取cookie。

38楼 本人马保国 5天前

TCP/IP连接请求会到机器,但是根本连不上,HTTP请求完全没机会到达机器, 更到达不了php的级别。

如果你 ...

我这么和你说吧,有你说的这么简单CC攻击也没存在必要了
你仔细想想看是不是这么回事?

39楼 大橙子 5天前

帮顶

40楼 davidsky2012 5天前

我这么和你说吧,有你说的这么简单CC攻击也没存在必要了
你仔细想想看是不是这么回事? ...

如果没用CDN,确实就是楼主说的这样。

不过正是因为需要用CDN防DD,所以一般情况下无法使用楼主的方法。

而楼主的假设是不用CDN的情况。

所以,还是你没想明白。

42楼 本人马保国 5天前

如果没用CDN,确实就是楼主说的这样。

不过正是因为需要用CDN防DD,所以一般情况下无法使用楼主的方法。 ...

我做SF游戏行业10几年,自认遇到的攻击这块经验还是挺足的
可以让楼主发网站出来实践下呗 要是这么简单别人做防火墙的早都饿死了
最简单的,别人一个并发就给你CPU干100%了,后面还什么JS判断不都无稽之谈吗,别人防火墙底层判断都搞不定的事,你还网页判断

43楼 iiss 5天前

这一个简单的小办法基本上99.9%的CC都没用了
后面更高级的对抗就后说了,一般人遇不到。
后面高级对抗还 ...

所以我说仿君子不仿小人,要针对性搞你,很简单。你js混淆了依然可以解密出来,避不了的。

44楼 davidsky2012 5天前

我做SF游戏行业10几年,自认遇到的攻击这块经验还是挺足的
可以让楼主发网站出来实践下呗 要是这么简单别 ...

楼主的方法不防dd,所以放出来肯定被d死。

楼主的方法也只能在一定程度上防cc(但仍旧有缺陷,具体看我上面的回复)。

回复 @本人马保国 的点评:
你这么说,说明你根本没理解楼主的方法。

45楼 davidsky2012 5天前

这一个简单的小办法基本上99.9%的CC都没用了
后面更高级的对抗就后说了,一般人遇不到。
后面高级对抗还 ...

这些在爬虫对抗中也经常用的,v8就能破解了。而且v8没你说的这么不堪,速度还是很快的。而且只要每10分钟获取一次cookie就行,10分钟内就随意cc了。即使缩短时间到5分钟或者1分钟,那攻击者也能进行相应调整。

46楼 fly389 5天前

1、网站上判断指定cookie是否存在,存在直接通行,正常访问。
如果几十万个IP来访问,判断的过程是否消耗CPU和带宽呢?
2、cookie值可以是动态的,由服务端生成,例如PHP里 cookieval = md5(ip . '12345xxx'),再交给js写cookie
生成几十万个IP的cookie需要消耗多少CPU呢?

47楼 mjj天下第一 5天前

签名好像已经挂了哎。

48楼 heyxiu 5天前

这些在爬虫对抗中也经常用的,v8就能破解了。而且v8没你说的这么不堪,速度还是很快的。而且只要每10分钟 ...

可以做成每次cookie值不一样的,这样你每次访问都要通过v8,那效率就太低了,伤害性不大

49楼 davidsky2012 5天前

1、网站上判断指定cookie是否存在,存在直接通行,正常访问。
如果几十万个IP来访问,判断的过程是否消耗CP ...

这些确实需要消耗cpu,但消耗程度远不及真正需要和数据库进行交互的业务逻辑。

因为cf的5秒盾在一定程度上就是这么做的,虽然用的不是cookie而是url和一些别的参数。

所以可以看出来如果这部分逻辑优化的好的话,还是可以起到一定作用的,比几十万ip直接冲击业务逻辑和数据库好得多。

50楼 heyxiu 5天前

1、网站上判断指定cookie是否存在,存在直接通行,正常访问。
如果几十万个IP来访问,判断的过程是否消耗CP ...

几十万个IP,第一次会造成CPU高,但是CPU高不是说完全无法运行了,该封的IP还是会被封,第二次就无效了。

52楼 davidsky2012 5天前

可以做成每次cookie值不一样的,这样你每次访问都要通过v8,那效率就太低了,伤害性不大 ...

很多攻击脚本本身就是用nodejs做的,足见v8的性能。

53楼 chxin 5天前

1、网站上判断指定cookie是否存在,存在直接通行,正常访问。
如果几十万个IP来访问,判断的过程是否消耗CP ...

cf 完美解决问题,不行还有cfworker自定义

54楼 nk123 5天前

楼主光说不练,拿出你的网站,让大家试试就知道你说的方法管不管用了

55楼 本人马保国 5天前

楼主的方法不防dd,所以放出来肯定被d死。

楼主的方法也只能在一定程度上防cc(但仍旧有缺陷,具体看我 ...

实践下吧 按照你们这样防CC,搞攻击的人天天要开心死了

56楼 heyxiu 5天前

楼主光说不练,拿出你的网站,让大家试试就知道你说的方法管不管用了

没意义,我只是分享一下经验而已,又不收费,不知道戳了哪个的伤口,在攻击我签名了

57楼 ddsweb 5天前

cc是消耗资源的,请求到不了数据库层就算胜利

58楼 By小酷 5天前

就算你直接封IP那么人家的流量已经到你家门口 还是可以堵死你
虽然你已经知道对方IP是坏 但是你的服务器还是需要去处理他发来的请求
就算每次只消耗0.1ms的CPU时间 如果他发送的请求是1000ms100000次呢
1000个这样的坏IP1000ms 请求100000次呢
你的CPU需要多少时间去处理这些坏请求 就算你想不理不睬 你的iptables也不一定能处理过来

59楼 By小酷 5天前

什么叫原理上就封死了,请求还是到你机器了
每秒数万请求,你机器能顶住? ...

他根本就不知道什么是攻击
还多大的流量都能顶住
纯属纸上谈兵
连封禁IP的原理都还不清楚
好像封禁IP就不需要CPU去处理数据一样 凭空处理坏请求 不发功就能干活

60楼 路见不平 5天前

如果是js判断的话,其实应该可以把代码放到cf新出的Zaraz上,执行封锁ip和判断是否有cookie这个步骤效率和稳定性理论上都会更高

62楼 fly389 5天前

几十万个IP,第一次会造成CPU高,但是CPU高不是说完全无法运行了,该封的IP还是会被封,第二次就无效了。 ...

几十万IP访问,业务逻辑直接炸了,还有几十万IP HTTP访问所占用的带宽估计都把你网络塞爆

63楼 By小酷 5天前

如果是js判断的话,其实应该可以把代码放到cf新出的Zaraz上,执行封锁ip和判断是否有cookie这个步骤效率和 ...

你说例子么 想知道如何操作

64楼 davidsky2012 5天前

实践下吧 按照你们这样防CC,搞攻击的人天天要开心死了

发现你的理解力真有问题,我明明说的是“有缺陷”,而且之前我也说了攻击方法,然后到了你嘴里就成了可以防攻击了。真有意思。

65楼 davidsky2012 5天前

CF5秒盾也只是第一层防御,当系统压力过高时候,防CC的唯一方法就是扩带宽和加服务器,其他都无解 ...

攻击带宽实际上已经不属于cc,而是dd了。cc攻击的是业务逻辑,造成高负载。而且我之前也说了楼主的方法“有缺陷”,而且也拿出了我的攻击方法,然后到你这里就变成了可以防攻击了,理解力真有意思。

重新仔细看我之前说的吧,我之前说的是可以起到一定作用,什么时候说过可以完全阻止攻击的?而且我也拿出攻击方法的。

66楼 路见不平 5天前

你说例子么 想知道如何操作

我没找到合适的例子,只是觉得这样可行,因为Zaraz上能执行自定义的html代码。
在v2ex上有个类似思路的,https://www.v2ex.com/t/260392,但他是做成了nginx的扩展,不过很久没更新了,估计新版nginx不能用

67楼 MyDream 5天前

楼主说的是这个吗?
访问后就会生成小尾巴,和一个 cookie
https://shop.moeclub.org/cart.php?gid=4

68楼 IDC888 5天前

除非你每个代理都是自己控制的机器,在机器上部署自己专门写的攻击程序针对这个网站,那是厉害:就是肉鸡、僵尸网络了,这才是正常的CC攻击,哪有什么别人的代理让你瞎搞的,有这种可能就没机场什么事了。
另外,只要判断是代理,就直接封掉,岂不是更彻底,好多A站VPS站不是不让开代理吗?就用这种判断代理的代码不就可以防CC了?

69楼 tiga 5天前

原理基本上算是 WAF 上最基本的 Browser Verify,只是别人都把它放在最前端了,比如 VeryNginx 或者各种 Nginx+Lua

70楼 哈登 4天前

保存下,以后有机会试试

72楼 heyxiu 4天前

我来说几句,后面的评论没看,就看了前面那几页的。
你说用防火墙把IP封了流量就到不了机器。
你这样理解一 ...

你说的这种是dd, 帖子讨论的是cc,了解一下dd和cc的区别

73楼 34995549 4天前

楼主直接放代码吧,我反正看不懂

74楼 冲浪麦浪花郎 4天前

你想的太简单了,会被现实上亿课的

75楼 htazq 4天前

这才叫技术论坛嘛,各自的经验,认知,拿出来讨论讨论,无关对错,都是在某些情况下有用武之地的。

76楼 永远的神 10分钟前

你说的这种是dd, 帖子讨论的是cc,了解一下dd和cc的区别

都元老了,别这么幼稚了

申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。

退出移动版