不过最近几天突然糟糕了起来,有90%的攻击已经没法拦截,请看下图一天的统计:
IP攻击及开始时间 攻击次数 地点 备注
125.165.1.42–2010-11-19 02:02:19–/ 10 印度尼西亚
125.165.26.186–2010-11-19 16:56:45–/ 1846 印度尼西亚
151.51.238.254–2010-11-19 09:32:40–/ 4581 意大利
151.76.40.182–2010-11-19 11:58:37–/ 4763 意大利 罗马
186.28.125.37–2010-11-19 11:19:22–/ 170 哥伦比亚
186.28.131.122–2010-11-19 11:28:43–/ 22 哥伦比亚
186.28.25.130–2010-11-19 11:30:20–/ 1530 哥伦比亚
188.3.1.108–2010-11-19 02:48:28–/ 1699 土耳其
188.3.1.18–2010-11-19 06:46:01–/ 1358 土耳其
188.3.34.226–2010-11-19 17:07:02–/ 1672 土耳其
190.24.50.228–2010-11-19 12:26:38–/ 2038 哥伦比亚
190.24.83.82–2010-11-19 14:20:10–/ 9169 哥伦比亚
190.25.30.213–2010-11-19 14:00:44–/ 680 哥伦比亚
190.26.29.130–2010-11-19 13:33:11–/ 510 哥伦比亚
190.27.115.101–2010-11-19 13:53:48–/ 340 哥伦比亚
190.27.22.222–2010-11-19 12:16:02–/ 340 哥伦比亚
201.244.113.165–2010-11-19 11:25:55–/ 170 哥伦比亚
201.244.113.47–2010-11-19 11:24:56–/ 147 哥伦比亚
201.244.115.156–2010-11-19 10:13:56–/ 2031 哥伦比亚
201.244.119.228–2010-11-19 13:50:05–/ 170 哥伦比亚
201.245.218.155–2010-11-19 13:30:30–/ 21 哥伦比亚
212.156.185.122–2010-11-19 08:40:36–/ 16158 土耳其
78.160.106.60–2010-11-19 03:31:12–/ 340 土耳其
78.162.67.77–2010-11-19 04:26:24–/ 3595 土耳其 程序已抓
78.175.64.173–2010-11-19 02:00:08–/ 2877 土耳其
78.176.178.76–2010-11-19 06:12:05–/ 2370 土耳其
78.177.2.86–2010-11-19 13:24:29–/ 196 土耳其
78.181.76.51–2010-11-19 16:04:29–/ 600 土耳其
78.184.145.63–2010-11-19 14:30:12–/ 2542 土耳其
78.185.168.24–2010-11-19 09:02:52–/ 3877 土耳其
78.190.79.225–2010-11-19 13:25:22–/ 3300 土耳其
78.190.84.230–2010-11-19 06:51:33–/ 2719 土耳其
78.191.149.47–2010-11-19 08:34:34–/ 8783 土耳其
78.191.233.108–2010-11-19 05:10:48–/ 340 土耳其
78.191.94.126–2010-11-19 04:34:26–/ 3091 土耳其
85.104.231.74–2010-11-19 08:03:53–/ 3500 土耳其
85.104.49.60–2010-11-19 04:47:12–/ 1037 土耳其
85.106.123.116–2010-11-19 13:35:45–/ 68 土耳其
88.224.255.96–2010-11-19 07:18:59–/ 3903 土耳其
88.228.138.65–2010-11-19 02:12:31–/ 396 土耳其
88.228.66.5–2010-11-19 10:44:26–/ 2797 土耳其
88.229.12.40–2010-11-19 06:57:46–/ 6792 土耳其
88.234.193.11–2010-11-19 08:25:42–/ 5895 土耳其
88.236.78.79–2010-11-19 15:01:54–/ 170 土耳其
88.238.26.12–2010-11-19 05:21:46–/ 473 土耳其
88.238.26.154–2010-11-19 05:31:58–/ 1683 土耳其
88.242.124.128–2010-11-19 06:53:56–/ 8401 土耳其
88.242.65.61–2010-11-19 08:38:41–/ 1204 土耳其 程序已抓
94.122.20.157–2010-11-19 09:53:39–/ 1917 土耳其 美国 程序已抓
94.54.37.54–2010-11-19 02:44:07–/ 1096 土耳其 美国 程序已抓
95.14.1.97–2010-11-19 08:30:10–/ 167 土耳其 美国
95.15.248.177–2010-11-19 11:14:54–/ 1454 土耳其 美国 程序已抓
共125008次,快的15秒172次,只抓9266次。
这个表够糟糕的了,我们网站一天被攻击了12万次之多,如果任由其乱来,会给网站的负担带来的网速影响是显而易见的,该攻击的特点是每当发起攻击的时候都会由3-5个不同的IP同时以每秒3-5次的速度攻击过来,合计起来每秒钟就达9-25次,每过1-6小时换一次IP,而且IP和以前的记录是不重复的。这样,一来是网站内存会突然过大,亮灯;二来是给网络带来很大的不稳定性。个别IP是封了一直存在的,我试过全部解封了,一解封就有好几个IP同时进行攻击,甚至会让网站严重过载了几分钟。
现在,开始本期的话题,为什么会挡不住新的攻击了呢?经过研究,我发现那90%的IP采用了新的攻击方案:已经智能的能攻击2分钟停5分钟的轮流攻击,由于我上次的程序参数设置为600秒/期的保守方案,所以,我把参数改为了120秒120次的新方案,错杀率0.5%以内,经过log的对比,我可以分析出120秒120次错杀是未曾试过的,120秒多1次也只是有一个运费页面由于网络问题有个客户刷新多了1回,这是我们的交易后台的原因不够智能化居多。
最后,感谢大家的留言,你们的留言我都会思考的。不过,我这个程序只是个参考,因地制宜,也不是最好的,只能说是人性化的罢了。现在我把程序再发一遍,只改了时间次数参数,新的参数已经能100%抓住那些黑客IP,我试验了两天,抓了62个新IP,还是土耳其的居多。
网站防IP攻击代码(Anti-IP attack code website) ver2.0:
<BR>/* <BR>*网站防IP攻击代码(Anti-IP attack code website)2010-11-20,Ver2.0 <BR>*Mydalle.com Anti-refresh mechanism <BR>*design by www.mydalle.com <BR>*/ <BR><?php <BR>//查询禁止IP <BR>$ip =$_SERVER['REMOTE_ADDR']; <BR>$fileht=".htaccess2"; <BR>if(!file_exists($fileht))file_put_contents($fileht,""); <BR>$filehtarr=@file($fileht); <BR>if(in_array($ip."\r\n",$filehtarr))die("Warning:"<a>本2文来*源gao($daima.com搞@代@#码(网</a><strong>搞gaodaima代码</strong>."<br>"."Your IP address are forbided by Mydalle.com Anti-refresh mechanism, IF you have any question Pls emill to [email protected]!<br>(Mydalle.com Anti-refresh mechanism is to enable users to have a good shipping services, but there maybe some inevitable network problems in your IP address, so that you can mail to us to solve.)"); <br><br>//加入禁止IP <BR>$time=time(); <BR>$fileforbid="log/forbidchk.dat"; <BR>if(file_exists($fileforbid)) <BR>{ if($time-filemtime($fileforbid)>30)unlink($fileforbid); <BR>else{ <BR>$fileforbidarr=@file($fileforbid); <BR>if($ip==substr($fileforbidarr[0],0,strlen($ip))) <BR>{ <BR>if($time-substr($fileforbidarr[1],0,strlen($time))>120)unlink($fileforbid); <BR>elseif($fileforbidarr[2]>120){file_put_contents($fileht,$ip."\r\n",FILE_APPEND);unlink($fileforbid);} <BR>else{$fileforbidarr[2]++;file_put_contents($fileforbid,$fileforbidarr);} <BR>} <BR>} <BR>} <BR>//防刷新 <BR>$str=""; <BR>$file="log/ipdate.dat"; <BR>if(!file_exists("log")&&!is_dir("log"))mkdir("log",0777); <BR>if(!file_exists($file))file_put_contents($file,""); <BR>$allowTime = 60;//防刷新时间 <BR>$allowNum=5;//防刷新次数 <BR>$uri=$_SERVER['REQUEST_URI']; <BR>$checkip=md5($ip); <BR>$checkuri=md5($uri); <BR>$yesno=true; <BR>$ipdate=@file($file); <BR>foreach($ipdate as $k=>$v) <BR>{ $iptem=substr($v,0,32); <BR>$uritem=substr($v,32,32); <BR>$timetem=substr($v,64,10); <BR>$numtem=substr($v,74); <BR>if($time-$timetem<$allowTime){ <BR>if($iptem!=$checkip)$str.=$v; <BR>else{ <BR>$yesno=false; <BR>if($uritem!=$checkuri)$str.=$iptem.$checkuri.$time."1\r\n"; <BR>elseif($numtem<$allowNum)$str.=$iptem.$uritem.$timetem.($numtem+1)."\r\n"; <BR>else <BR>{ <BR>if(!file_exists($fileforbid)){$addforbidarr=array($ip."\r\n",time()."\r\n",1);file_put_contents($fileforbid,$addforbidarr);} <BR>file_put_contents("log/forbided_ip.log",$ip."--".date("Y-m-d H:i:s",time())."--".$uri."\r\n",FILE_APPEND); <BR>$timepass=$timetem+$allowTime-$time; <BR>die("Warning:"."<br>"."Pls don't refresh too frequently, and wait for ".$timepass." seconds to continue, IF not your IP address will be forbided automatic by Mydalle.com Anti-refresh mechanism!<br>(Mydalle.com Anti-refresh mechanism is to enable users to have a good shipping services, but there maybe some inevitable network problems in your IP address, so that you can mail to us to solve.)"); <BR>} <BR>} <BR>} <BR>} <BR>if($yesno) $str.=$checkip.$checkuri.$time."1\r\n"; <BR>file_put_contents($file,$str); <BR>?> <BR>
转载请注明原文链接:IP攻击升级,程序改进以对付新的攻击_php技巧
