全球主机交流论坛

标题: 如果某个IP一分钟内连接80端口次数超过100次，就禁止这个IP [打印本页]

作者: gdtv 时间: 2010-3-15 15:18
标题: 如果某个IP一分钟内连接80端口次数超过100次，就禁止这个IP
怎样可以实现？

作者: haoqiumi 时间: 2010-3-15 15:24

线程？

作者: gdtv 时间: 2010-3-17 14:56
顶顶

作者: wzwen 时间: 2010-3-17 15:14
听说要在iptable里写规则

作者: freebsd 时间: 2010-3-17 15:21
nginx 里可以实现限制单个IP的连接数。

或者用脚本分析日志，把单位时间内过多连接的IP送入防火墙屏蔽名单

作者: 美国VPS 时间: 2010-3-17 16:01
一般需要指望第三方的模块，apache和nginx都有类似的，也许能满足你的要求

作者: 美国VPS 时间: 2010-3-17 16:02
穿针引线一下：

ngx_http_limit_zone_module
本模块可以针对条件，进行会话的并发连接数控制。（例如：限制每个IP的并发连接数。）
__配置示例__
http {
: limit_zone one  $binary_remote_addr  10m;

: ...

: server {

: ...

: location /download/ {
: limit_conn one  1;
: }
指令

[#limit_zone limit_zone]
[#limit_conn limit_conn]
limit_zone

语法：limit_zone zone_name $variable the_size
默认值：no
作用域：http

本指令定义了一个数据区，里面记录会话状态信息。
$variable 定义判断会话的变量；the_size 定义记录区的总容量。
例子：
limit_zone one  $binary_remote_addr  10m;
定义一个叫“one”的记录区，总容量为 10M，以变量 $binary_remote_addr 作为会话的判断基准（即一个地址一个会话）。

您可以注意到了，在这里使用的是 $binary_remote_addr 而不是 $remote_addr。
$remote_addr 的长度为 7 至 15 bytes，会话信息的长度为 32 或 64 bytes。而 $binary_remote_addr 的长度为 4 bytes，会话信息的长度为 32 bytes。

当区的大小为 1M 的时候，大约可以记录 32000 个会话信息（一个会话占用 32 bytes）。

limit_conn

语法：limit_conn zone_name the_size

默认值：no

作用域：http, server, location
指定一个会话最大的并发连接数。当超过指定的最发并发连接数时，服务器将返回 "Service unavailable" (503)。
例子：
limit_zone one  $binary_remote_addr  10m;

: server {
: location /download/ {
: limit_conn one  1;
: }
定义一个叫“one”的记录区，总容量为 10M，以变量 $binary_remote_addr 作为会话的判断基准（即一个地址一个会话）。限制 /download/ 目录下，一个会话只能进行一个连接。简单点，就是限制 /download/ 目录下，一个IP只能发起一个连接，多过一个，一律503。

作者: gdtv 时间: 2010-3-17 16:58
回复5楼和7楼：
limit_conn是限制并发连接数，不能实现"一分钟内连接次数超过100"，也就是说不能限制单位时间内的连接数

用limit_conn的话，如果限制为1，当一个页面有多个图片时，图片就显示不了了

作者: 诡谲 时间: 2010-3-17 17:50
标题: DOS- Deflate:帮助您有效减轻 DOS 攻击伤害
看这里.两篇一起看.

http://icodex.org/2010/03/powerf ... olicy-firewall-apf/
http://icodex.org/2010/03/help-y ... s-with-dos-deflate/

切莫照搬.自己修改.
------------------------------ DOS- Deflate ---------------------------------
yum -y install vixie-cron crontabs
chkconfig crond on
service crond start

cd /usr/local/src
wget http://www.rfxn.com/downloads/apf-current.tar.gz
tar -zxf apf-current.tar.gz
cd apf-9.7-1/
sh ./install.sh

cd /usr/local/src
wget http://www.inetbase.com/scripts/ddos/install.sh
sh ./install.sh

欢迎光临全球主机交流论坛 (https://fd.vvwvv.eu.org/)