网站遭受CC攻击的解决办法

     前两天，网站的注册发送手机短信验证码的接口受到攻击，一个半小时，1万条短信都发出去了。可见，我们的安全防护做的多么不好。

      分析攻击方式：

      1） 多台机器模拟人工操作，随机输入手机号，就点击发送短信；

       2） 多台机器上的部署的相同的脚本，在对网站发起攻击；

      针对可能的第一种攻击方式： 在前端加了一个滑动解决的功能（一个jquery插件），必须手动拖动滑动解锁，输入框才是可点的；

      针对可能的第二种攻击方式，应对策略：

      1）在服务端接口加上验证，限制相同的IP，多长时间之内可以访问几次；限制相同的手机号，多长时间之内可以发送短信几次；具体实现是在redis/memcache中存储两个值；key1=该IP第一次访问的时间，key2=该IP总访问的次数；比如10分钟内可访问3次，超过3次就不让发送短信了。手机号的限制方式也是一样的；

      2）配置nginx，限制IP在一定时间内的访问次数，以及同一时刻的并发数；

          参考网址：http://boyseegirl.iteye.com/blog/2033717  （nginx限制特定ip的并发连接数）

                         http://blog.csdn.net/gebitan505/article/details/17610485  （nginx限制某个IP同一时间段的访问次数）

                         http://blog.csdn.net/dingyingguidyg/article/details/8523421 （nginx利用limit模块设置IP并发防CC攻击）

                         http://blog.csdn.net/plunger2011/article/details/37812843 （nginx配置limit_conn_zone来限制并发连接数以及下载带宽）

           http{

                .......

                ........   

               limit_req_zone $binary_remote_addr zone=one:10m rate=2r/s; #1秒发起2个请求）
               limit_conn_zone $binary_remote_addr zone=perip:10m;

           }

           

            server{

                location /{   

                    limit_req zone=one burst=1 nodelay;
                    limit_conn perip 2; #连接数限

               }

             }

 

      3）通过分析nginx的access日志，筛选出访问量最高的IP，封掉；

               按照某个时间点统计ip的访问次数，并排序

               cat  access.log  |grep  "11/Nov/2015:12:30*"  | awk '{print $1}' | sort | uniq -c | sort -rn  > iptong.txt

               筛选出IP之后新建一个blockIp.conf文件,文件内容为：

                deny xx.xx.xx.xx ;

                deny xx.xx.xx.xx ;

                deny xx.xx.xx.xx ; 

               在nginx.conf中http{

                         include blockIp.conf;           

               } 

               重启nginx ,  nginx -s reload 即可