在介绍上一篇中超级有用网站防IP攻击代码详解,那篇的方法也可以,不过本篇是升级新改进,更加劲哦。
在上一个完整的防止网络恶意IP攻击的方案,使用了一个月,效果良好。不过最近几天突然糟糕了起来,有90%的攻击已经没法拦截,请看下图一天的统计:
IP攻击及开始时间 |
攻击次数 |
地点 |
备注 |
125.165.1.42--2010-11-19 02:02:19--/ |
10 |
印度尼西亚 |
|
125.165.26.186--2010-11-19 16:56:45--/ |
1846 |
印度尼西亚 |
|
151.51.238.254--2010-11-19 09:32:40--/ |
4581 |
意大利 |
|
151.76.40.182--2010-11-19 11:58:37--/ |
4763 |
意大利 罗马 |
|
186.28.125.37--2010-11-19 11:19:22--/ |
170 |
哥伦比亚 |
|
186.28.131.122--2010-11-19 11:28:43--/ |
22 |
哥伦比亚 |
|
186.28.25.130--2010-11-19 11:30:20--/ |
1530 |
哥伦比亚 |
|
188.3.1.108--2010-11-19 02:48:28--/ |
1699 |
土耳其 |
|
188.3.1.18--2010-11-19 06:46:01--/ |
1358 |
土耳其 |
|
188.3.34.226--2010-11-19 17:07:02--/ |
1672 |
土耳其 |
|
190.24.50.228--2010-11-19 12:26:38--/ |
2038 |
哥伦比亚 |
|
190.24.83.82--2010-11-19 14:20:10--/ |
9169 |
哥伦比亚 |
|
190.25.30.213--2010-11-19 14:00:44--/ |
680 |
哥伦比亚 |
|
190.26.29.130--2010-11-19 13:33:11--/ |
510 |
哥伦比亚 |
|
190.27.115.101--2010-11-19 13:53:48--/ |
340 |
哥伦比亚 |
|
190.27.22.222--2010-11-19 12:16:02--/ |
340 |
哥伦比亚 |
|
201.244.113.165--2010-11-19 11:25:55--/ |
170 |
哥伦比亚 |
|
201.244.113.47--2010-11-19 11:24:56--/ |
147 |
哥伦比亚 |
|
201.244.115.156--2010-11-19 10:13:56--/ |
2031 |
哥伦比亚 |
|
201.244.119.228--2010-11-19 13:50:05--/ |
170 |
哥伦比亚 |
|
201.245.218.155--2010-11-19 13:30:30--/ |
21 |
哥伦比亚 |
|
212.156.185.122--2010-11-19 08:40:36--/ |
16158 |
土耳其 |
|
78.160.106.60--2010-11-19 03:31:12--/ |
340 |
土耳其 |
|
78.162.67.77--2010-11-19 04:26:24--/ |
3595 |
土耳其 |
程序已抓 |
78.175.64.173--2010-11-19 02:00:08--/ |
2877 |
土耳其 |
|
78.176.178.76--2010-11-19 06:12:05--/ |
2370 |
土耳其 |
|
78.177.2.86--2010-11-19 13:24:29--/ |
196 |
土耳其 |
|
78.181.76.51--2010-11-19 16:04:29--/ |
600 |
土耳其 |
|
78.184.145.63--2010-11-19 14:30:12--/ |
2542 |
土耳其 |
|
78.185.168.24--2010-11-19 09:02:52--/ |
3877 |
土耳其 |
|
78.190.79.225--2010-11-19 13:25:22--/ |
3300 |
土耳其 |
|
78.190.84.230--2010-11-19 06:51:33--/ |
2719 |
土耳其 |
|
78.191.149.47--2010-11-19 08:34:34--/ |
8783 |
土耳其 |
|
78.191.233.108--2010-11-19 05:10:48--/ |
340 |
土耳其 |
|
78.191.94.126--2010-11-19 04:34:26--/ |
3091 |
土耳其 |
|
85.104.231.74--2010-11-19 08:03:53--/ |
3500 |
土耳其 |
|
85.104.49.60--2010-11-19 04:47:12--/ |
1037 |
土耳其 |
|
85.106.123.116--2010-11-19 13:35:45--/ |
68 |
土耳其 |
|
88.224.255.96--2010-11-19 07:18:59--/ |
3903 |
土耳其 |
|
88.228.138.65--2010-11-19 02:12:31--/ |
396 |
土耳其 |
|
88.228.66.5--2010-11-19 10:44:26--/ |
2797 |
土耳其 |
|
88.229.12.40--2010-11-19 06:57:46--/ |
6792 |
土耳其 |
|
88.234.193.11--2010-11-19 08:25:42--/ |
5895 |
土耳其 |
|
88.236.78.79--2010-11-19 15:01:54--/ |
170 |
土耳其 |
|
88.238.26.12--2010-11-19 05:21:46--/ |
473 |
土耳其 |
|
88.238.26.154--2010-11-19 05:31:58--/ |
1683 |
土耳其 |
|
88.242.124.128--2010-11-19 06:53:56--/ |
8401 |
土耳其 |
|
88.242.65.61--2010-11-19 08:38:41--/ |
1204 |
土耳其 |
程序已抓 |
94.122.20.157--2010-11-19 09:53:39--/ |
1917 |
土耳其 美国 |
程序已抓 |
94.54.37.54--2010-11-19 02:44:07--/ |
1096 |
土耳其 美国 |
程序已抓 |
95.14.1.97--2010-11-19 08:30:10--/ |
167 |
土耳其 美国 |
|
95.15.248.177--2010-11-19 11:14:54--/ |
1454 |
土耳其 美国 |
程序已抓 |
|
|
|
|
共125008次,快的15秒172次,只抓9266次。 |
|
|
|
这个表够糟糕的了,我们网站一天被攻击了12万次之多,如果任由其乱来,会给网站的负担带来的网速影响是显而易见的,该攻击的特点是每当发起攻击的时候都会由3-5个不同的IP同时以每秒3-5次的速度攻击过来,合计起来每秒钟就达9-25次,每过1-6小时换一次IP,而且IP和以前的记录是不重复的。这样,一来是网站内存会突然过大,亮灯;二来是给网络带来很大的不稳定性。个别IP是封了一直存在的,我试过全部解封了,一解封就有好几个IP同时进行攻击,甚至会让网站严重过载了几分钟。
现在,开始本期的话题,为什么会挡不住新的攻击了呢?经过研究,我发现那90%的IP采用了新的攻击方案:已经智能的能攻击2分钟停5分钟的轮流攻击,由于我上次的程序参数设置为600秒/期的保守方案,所以,我把参数改为了120秒120次的新方案,错杀率0.5%以内,经过log的对比,我可以分析出120秒120次错杀是未曾试过的,120秒多1次也只是有一个运费页面由于网络问题有个客户刷新多了1回,这是我们的交易后台的原因不够智能化居多。
最后,感谢大家的留言,你们的留言我都会思考的。不过,我这个程序只是个参考,因地制宜,也不是最好的,只能说是人性化的罢了。现在我把程序再发一遍,只改了时间次数参数,新的参数已经能100%抓住那些黑客IP,我试验了两天,抓了62个新IP,还是土耳其的居多。
网站防IP攻击代码(Anti-IP attack code website) ver2.0:
1 /* 2 *网站防IP攻击代码(Anti-IP attack code website)2010-11-20,Ver2.0 3 *Mydalle.com Anti-refresh mechanism 4 *design by www.mydalle.com 5 */ 6 <?php 7 //查询禁止IP 8 $ip =$_SERVER['REMOTE_ADDR']; 9 $fileht=".htaccess2"; 10 if(!file_exists($fileht))file_put_contents($fileht,""); 11 $filehtarr=@file($fileht); 12 if(in_array($ip."\r\n",$filehtarr))die("Warning:"."<br>"."Your IP address are forbided by Mydalle.com Anti-refresh mechanism, IF you have any question Pls emill to shop@mydalle.com!<br>(Mydalle.com Anti-refresh mechanism is to enable users to have a good shipping services, but there maybe some inevitable network problems in your IP address, so that you can mail to us to solve.)"); 13 14 15 //加入禁止IP 16 $time=time(); 17 $fileforbid="log/forbidchk.dat"; 18 19 if(file_exists($fileforbid)) 20 { if($time-filemtime($fileforbid)>30)unlink($fileforbid); 21 else{ 22 $fileforbidarr=@file($fileforbid); 23 if($ip==substr($fileforbidarr[0],0,strlen($ip))) 24 { 25 if($time-substr($fileforbidarr[1],0,strlen($time))>120)unlink($fileforbid); 26 elseif($fileforbidarr[2]>120){file_put_contents($fileht,$ip."\r\n",FILE_APPEND);unlink($fileforbid);} 27 else{$fileforbidarr[2] ;file_put_contents($fileforbid,$fileforbidarr);} 28 } 29 } 30 } 31 32 //防刷新 33 $str=""; 34 $file="log/ipdate.dat"; 35 if(!file_exists("log")&&!is_dir("log"))mkdir("log",0777); 36 if(!file_exists($file))file_put_contents($file,""); 37 $allowTime = 60;//防刷新时间 38 $allowNum=5;//防刷新次数 39 $uri=$_SERVER['REQUEST_URI']; 40 $checkip=md5($ip); 41 $checkuri=md5($uri); 42 $yesno=true; 43 $ipdate=@file($file); 44 foreach($ipdate as $k=>$v) 45 { $iptem=substr($v,0,32); 46 $uritem=substr($v,32,32); 47 $timetem=substr($v,64,10); 48 $numtem=substr($v,74); 49 if($time-$timetem<$allowTime){ 50 if($iptem!=$checkip)$str.=$v; 51 else{ 52 $yesno=false; 53 if($uritem!=$checkuri)$str.=$iptem.$checkuri.$time."1\r\n"; 54 elseif($numtem<$allowNum)$str.=$iptem.$uritem.$timetem.($numtem 1)."\r\n"; 55 else 56 { 57 if(!file_exists($fileforbid)){$addforbidarr=array($ip."\r\n",time()."\r\n",1);file_put_contents($fileforbid,$addforbidarr);} 58 file_put_contents("log/forbided_ip.log",$ip."--".date("Y-m-d H:i:s",time())."--".$uri."\r\n",FILE_APPEND); 59 $timepass=$timetem $allowTime-$time; 60 die("Warning:"."<br>"."Pls don't refresh too frequently, and wait for ".$timepass." seconds to continue, IF not your IP address will be forbided automatic by Mydalle.com Anti-refresh mechanism!<br>(Mydalle.com Anti-refresh mechanism is to enable users to have a good shipping services, but there maybe some inevitable network problems in your IP address, so that you can mail to us to solve.)"); 61 } 62 } 63 } 64 } 65 if($yesno) $str.=$checkip.$checkuri.$time."1\r\n"; 66 file_put_contents($file,$str); 67 ?>
|