WEB应用程序层防cc攻击算法与防范原理

广告：

现状：国内宽带用户的IP地址已经大量内网化，几百人共享一个IP的可能性是很大的。CC攻击则是通过模拟多线程多用户

一：禁用指定IP或者IP段

二：判断user_agent if ($http_user_agent ~ (WordPress|pingback) {return 403;}

三：限制单个同一ip一段时间连接数（如：20秒内限制为50次） 然后屏敝ip或加验证码。

四：Web服务器限制连接数量，修改最大超时时间等。
nginx nginx可设置limit_conn perip x； x为单个IP的最大并发连接数量，超过这个数量将不接受连接。
limit_req zone=allips burst=x nodelay; x为最大延迟请求数，如果太过多的请求被限制延迟是不需要的 ，这时需要使用nodelay参数，服务器会立刻返回503状态码。这几个参数可以根据自己服务器配置改，限制太小的话会影响正常访问，限制太大则会影响防CC的效果。

五：禁止代理访问 (不可取，cdn加速的网站始终有代理ip，代理ip为最近节点ip)

六：Token = Hash( UserAgent + client_ip + key ) （不可取，用户第一次访问获取不到）

七：依据SID sesssion对客户端进行频率限制 （不可取 缓存页面获取不到用户的sessionid，仅针对没有缓存页的动态页面有效果）

广告：