IP攻击升级,程序改进以对付新的攻击


Posted in PHP onNovember 23, 2010

不过最近几天突然糟糕了起来,有90%的攻击已经没法拦截,请看下图一天的统计:
IP攻击及开始时间 攻击次数 地点 备注
125.165.1.42--2010-11-19 02:02:19--/ 10 印度尼西亚  
125.165.26.186--2010-11-19 16:56:45--/ 1846 印度尼西亚  
151.51.238.254--2010-11-19 09:32:40--/ 4581 意大利  
151.76.40.182--2010-11-19 11:58:37--/ 4763 意大利 罗马  
186.28.125.37--2010-11-19 11:19:22--/ 170 哥伦比亚  
186.28.131.122--2010-11-19 11:28:43--/ 22 哥伦比亚  
186.28.25.130--2010-11-19 11:30:20--/ 1530 哥伦比亚  
188.3.1.108--2010-11-19 02:48:28--/ 1699 土耳其  
188.3.1.18--2010-11-19 06:46:01--/ 1358 土耳其  
188.3.34.226--2010-11-19 17:07:02--/ 1672 土耳其  
190.24.50.228--2010-11-19 12:26:38--/ 2038 哥伦比亚  
190.24.83.82--2010-11-19 14:20:10--/ 9169 哥伦比亚  
190.25.30.213--2010-11-19 14:00:44--/ 680 哥伦比亚  
190.26.29.130--2010-11-19 13:33:11--/ 510 哥伦比亚  
190.27.115.101--2010-11-19 13:53:48--/ 340 哥伦比亚  
190.27.22.222--2010-11-19 12:16:02--/ 340 哥伦比亚  
201.244.113.165--2010-11-19 11:25:55--/ 170 哥伦比亚  
201.244.113.47--2010-11-19 11:24:56--/ 147 哥伦比亚  
201.244.115.156--2010-11-19 10:13:56--/ 2031 哥伦比亚  
201.244.119.228--2010-11-19 13:50:05--/ 170 哥伦比亚  
201.245.218.155--2010-11-19 13:30:30--/ 21 哥伦比亚  
212.156.185.122--2010-11-19 08:40:36--/ 16158 土耳其  
78.160.106.60--2010-11-19 03:31:12--/ 340 土耳其  
78.162.67.77--2010-11-19 04:26:24--/ 3595 土耳其 程序已抓
78.175.64.173--2010-11-19 02:00:08--/ 2877 土耳其  
78.176.178.76--2010-11-19 06:12:05--/ 2370 土耳其  
78.177.2.86--2010-11-19 13:24:29--/ 196 土耳其  
78.181.76.51--2010-11-19 16:04:29--/ 600 土耳其  
78.184.145.63--2010-11-19 14:30:12--/ 2542 土耳其  
78.185.168.24--2010-11-19 09:02:52--/ 3877 土耳其  
78.190.79.225--2010-11-19 13:25:22--/ 3300 土耳其  
78.190.84.230--2010-11-19 06:51:33--/ 2719 土耳其  
78.191.149.47--2010-11-19 08:34:34--/ 8783 土耳其  
78.191.233.108--2010-11-19 05:10:48--/ 340 土耳其  
78.191.94.126--2010-11-19 04:34:26--/ 3091 土耳其  
85.104.231.74--2010-11-19 08:03:53--/ 3500 土耳其  
85.104.49.60--2010-11-19 04:47:12--/ 1037 土耳其  
85.106.123.116--2010-11-19 13:35:45--/ 68 土耳其  
88.224.255.96--2010-11-19 07:18:59--/ 3903 土耳其  
88.228.138.65--2010-11-19 02:12:31--/ 396 土耳其  
88.228.66.5--2010-11-19 10:44:26--/ 2797 土耳其  
88.229.12.40--2010-11-19 06:57:46--/ 6792 土耳其  
88.234.193.11--2010-11-19 08:25:42--/ 5895 土耳其  
88.236.78.79--2010-11-19 15:01:54--/ 170 土耳其  
88.238.26.12--2010-11-19 05:21:46--/ 473 土耳其  
88.238.26.154--2010-11-19 05:31:58--/ 1683 土耳其  
88.242.124.128--2010-11-19 06:53:56--/ 8401 土耳其  
88.242.65.61--2010-11-19 08:38:41--/ 1204 土耳其 程序已抓
94.122.20.157--2010-11-19 09:53:39--/ 1917 土耳其 美国 程序已抓
94.54.37.54--2010-11-19 02:44:07--/ 1096 土耳其 美国 程序已抓
95.14.1.97--2010-11-19 08:30:10--/ 167 土耳其 美国  
95.15.248.177--2010-11-19 11:14:54--/ 1454 土耳其 美国 程序已抓
共125008次,快的15秒172次,只抓9266次。
这个表够糟糕的了,我们网站一天被攻击了12万次之多,如果任由其乱来,会给网站的负担带来的网速影响是显而易见的,该攻击的特点是每当发起攻击的时候都会由3-5个不同的IP同时以每秒3-5次的速度攻击过来,合计起来每秒钟就达9-25次,每过1-6小时换一次IP,而且IP和以前的记录是不重复的。这样,一来是网站内存会突然过大,亮灯;二来是给网络带来很大的不稳定性。个别IP是封了一直存在的,我试过全部解封了,一解封就有好几个IP同时进行攻击,甚至会让网站严重过载了几分钟。
现在,开始本期的话题,为什么会挡不住新的攻击了呢?经过研究,我发现那90%的IP采用了新的攻击方案:已经智能的能攻击2分钟停5分钟的轮流攻击,由于我上次的程序参数设置为600秒/期的保守方案,所以,我把参数改为了120秒120次的新方案,错杀率0.5%以内,经过log的对比,我可以分析出120秒120次错杀是未曾试过的,120秒多1次也只是有一个运费页面由于网络问题有个客户刷新多了1回,这是我们的交易后台的原因不够智能化居多。
最后,感谢大家的留言,你们的留言我都会思考的。不过,我这个程序只是个参考,因地制宜,也不是最好的,只能说是人性化的罢了。现在我把程序再发一遍,只改了时间次数参数,新的参数已经能100%抓住那些黑客IP,我试验了两天,抓了62个新IP,还是土耳其的居多。
网站防IP攻击代码(Anti-IP attack code website) ver2.0:

/* 
*网站防IP攻击代码(Anti-IP attack code website)2010-11-20,Ver2.0 
*Mydalle.com Anti-refresh mechanism 
*design by www.mydalle.com 
*/ 
<?php 
//查询禁止IP 
$ip =$_SERVER['REMOTE_ADDR']; 
$fileht=".htaccess2"; 
if(!file_exists($fileht))file_put_contents($fileht,""); 
$filehtarr=@file($fileht); 
if(in_array($ip."\r\n",$filehtarr))die("Warning:"."<br>"."Your IP address are forbided by Mydalle.com Anti-refresh mechanism, IF you have any question Pls emill to shop@mydalle.com!<br>(Mydalle.com Anti-refresh mechanism is to enable users to have a good shipping services, but there maybe some inevitable network problems in your IP address, so that you can mail to us to solve.)"); //加入禁止IP 
$time=time(); 
$fileforbid="log/forbidchk.dat"; 
if(file_exists($fileforbid)) 
{ if($time-filemtime($fileforbid)>30)unlink($fileforbid); 
else{ 
$fileforbidarr=@file($fileforbid); 
if($ip==substr($fileforbidarr[0],0,strlen($ip))) 
{ 
if($time-substr($fileforbidarr[1],0,strlen($time))>120)unlink($fileforbid); 
elseif($fileforbidarr[2]>120){file_put_contents($fileht,$ip."\r\n",FILE_APPEND);unlink($fileforbid);} 
else{$fileforbidarr[2]++;file_put_contents($fileforbid,$fileforbidarr);} 
} 
} 
} 
//防刷新 
$str=""; 
$file="log/ipdate.dat"; 
if(!file_exists("log")&&!is_dir("log"))mkdir("log",0777); 
if(!file_exists($file))file_put_contents($file,""); 
$allowTime = 60;//防刷新时间 
$allowNum=5;//防刷新次数 
$uri=$_SERVER['REQUEST_URI']; 
$checkip=md5($ip); 
$checkuri=md5($uri); 
$yesno=true; 
$ipdate=@file($file); 
foreach($ipdate as $k=>$v) 
{ $iptem=substr($v,0,32); 
$uritem=substr($v,32,32); 
$timetem=substr($v,64,10); 
$numtem=substr($v,74); 
if($time-$timetem<$allowTime){ 
if($iptem!=$checkip)$str.=$v; 
else{ 
$yesno=false; 
if($uritem!=$checkuri)$str.=$iptem.$checkuri.$time."1\r\n"; 
elseif($numtem<$allowNum)$str.=$iptem.$uritem.$timetem.($numtem+1)."\r\n"; 
else 
{ 
if(!file_exists($fileforbid)){$addforbidarr=array($ip."\r\n",time()."\r\n",1);file_put_contents($fileforbid,$addforbidarr);} 
file_put_contents("log/forbided_ip.log",$ip."--".date("Y-m-d H:i:s",time())."--".$uri."\r\n",FILE_APPEND); 
$timepass=$timetem+$allowTime-$time; 
die("Warning:"."<br>"."Pls don't refresh too frequently, and wait for ".$timepass." seconds to continue, IF not your IP address will be forbided automatic by Mydalle.com Anti-refresh mechanism!<br>(Mydalle.com Anti-refresh mechanism is to enable users to have a good shipping services, but there maybe some inevitable network problems in your IP address, so that you can mail to us to solve.)"); 
} 
} 
} 
} 
if($yesno) $str.=$checkip.$checkuri.$time."1\r\n"; 
file_put_contents($file,$str); 
?>
PHP 相关文章推荐
初探PHP5
Oct 09 PHP
解决控件遮挡问题:关于有窗口元素和无窗口元素
Jan 28 PHP
JS实现php的伪分页
May 25 PHP
用php实现的下载css文件中的图片的代码
Feb 08 PHP
ThinkPHP采用模块和操作分析
Apr 18 PHP
php中大括号作用介绍
Mar 22 PHP
PHP写的获取各搜索蜘蛛爬行记录代码
Aug 21 PHP
PHP之APC缓存详细介绍 apc模块安装
Jan 13 PHP
php字符串按照单词进行反转的方法
Mar 14 PHP
PHP中的类型约束介绍
May 11 PHP
php实现curl模拟ftp上传的方法
Jul 29 PHP
PHP设计模式(三)建造者模式Builder实例详解【创建型】
May 02 PHP
php下封装较好的数字分页方法
Nov 23 #PHP
php下使用iconv需要注意的问题
Nov 20 #PHP
批量修改RAR文件注释的php代码
Nov 20 #PHP
为PHP初学者的8点有效建议
Nov 20 #PHP
PHP程序员最常犯的11个MySQL错误小结
Nov 20 #PHP
Windows 下的 PHP-PEAR 安装方法
Nov 20 #PHP
整理的9个实用的PHP库简介和下载
Nov 09 #PHP
You might like
Smarty模板快速入门
2007/01/04 PHP
php小经验:解析preg_match与preg_match_all 函数
2013/06/29 PHP
PHP登陆后跳转到登陆前页面实现思路及代码
2014/01/17 PHP
经典PHP加密解密函数Authcode()修复版代码
2015/04/05 PHP
PHP实现的QQ空间g_tk加密算法
2015/07/09 PHP
php文件上传、下载和删除示例
2020/08/28 PHP
yii2.0整合阿里云oss上传单个文件的示例
2017/09/19 PHP
PHP通过GD库实现验证码功能示例
2019/02/23 PHP
用JavaScript仿PS里的羽化效果代码
2011/12/20 Javascript
jQuery布局插件UI Layout简介及使用方法
2013/04/03 Javascript
关于jQuery新的事件绑定机制on()的使用技巧
2013/04/26 Javascript
基于JQuery实现的Select级联
2014/01/27 Javascript
Node调试工具JSHint的安装及配置教程
2014/05/27 Javascript
js下将阿拉伯数字每三位一逗号分隔(如:15000000转化为15,000,000)
2014/06/02 Javascript
JS基于Ajax实现的网页Loading效果代码
2015/10/27 Javascript
jQuery简单倒计时效果完整示例
2016/09/20 Javascript
AngularJS ngModel实现指令与输入直接的数据通信
2016/09/21 Javascript
用Angular实时获取本地Localstorage数据,实现一个模拟后台数据登入的效果
2016/11/09 Javascript
解决vue跨域axios异步通信问题
2019/04/17 Javascript
微信小程序返回箭头跳转到指定页面实例解析
2019/10/08 Javascript
详解微信小程序之提高应用速度小技巧
2020/01/07 Javascript
JS call()及apply()方法使用实例汇总
2020/07/11 Javascript
vue实现下拉菜单树
2020/10/22 Javascript
Django中login_required装饰器的深入介绍
2017/11/24 Python
快速了解Python开发中的cookie及简单代码示例
2018/01/17 Python
python print输出延时,让其立刻输出的方法
2019/01/07 Python
Django admin禁用编辑链接和添加删除操作详解
2019/11/15 Python
Python实现非正太分布的异常值检测方式
2019/12/09 Python
python matplotlib imshow热图坐标替换/映射实例
2020/03/14 Python
python实现密码验证合格程序的思路详解
2020/06/01 Python
将SVG图引入到HTML页面的实现
2019/09/20 HTML / CSS
会话Bean的种类
2013/11/07 面试题
中专毕业生个人职业生涯规划
2014/02/19 职场文书
幼儿园保育员随笔
2015/08/14 职场文书
分享7个 Python 实战项目练习
2022/03/03 Python
Android中View.post和Handler.post的关系
2022/06/05 Java/Android