1 分钟（60 秒）内，同一 IP 刷新了多少次，就当作恶意刷新关小黑屋？（防御单一 IP 的 CC 攻击）

暂时没

有些网站F5就刷挂了

都是按秒算

@qwe321 比如说v2ex,在当前页面按住F5不放，就被关小黑屋了，哈哈

根据业务场景来,其实直接ban不太好,有些单位公网IP是同一个,几百人在用
可以加不同难度的验证码并为之设定有效时间

善用 http 304

@rockpine 刚去试了下 真被v2关小黑屋了。。。。。

@geew 那是白屋 好吧 刚刚刷进去了

前几天回复稍微频繁 就被关了

如果你用的是apache+php的话，可以尝试一下这个模块mod_evasive

nginx可以加conn_limit和req_limit
也可以iptables限制连接频率和并发连接

@wwlweihai 。。。why you try

@geew 。。。why you try

Please retry after 1121 seconds.
我也进去了

现在也在用一个简单防CC策略

1. 每隔10秒将 nginx access log文件交给php脚本分析，得到可疑ip
2. 将可疑ip放入防火墙<check>队列，该队列会将80端口的请求导入到一个检测服务
3. 用golang写了一个检测程序:
第一步：尝试js跳转，cookie验证，如果通过，则将请求relay到原80端口，并且继续观察后续请求频率。
第二步：如果第一步通过后访问频率还是高，就进入验证码验证，如果验证码通过，就把ip从<check>队列移除。
4. <check>中每个ip只保留1小时，防止误伤。

我刚出来...

我的vps供应商设置的是5/s

特定时间 内， 某一IP如果在特定规则下刷 就关小黑屋，然后特定时间解锁就ok

暂时没碰到过这种情况，以前经常浏览器自动刷新的，
要是就因为这事把我关进去了，我保证给他DDoS。

遇到CC攻击不会通过防火墙检测把他的数据包丢弃掉吗？

果然有小黑屋 刚出来

no zuo no die, 才出来没多久...

amh有个防cc模块，楼主可以研究下： http://www.lsanday.com/386.html

- fail2ban
- iptables
- limit-req2
- 其实现在看来更大的隐患不是快速攻击这种容易发觉的，而是慢速的长期嗅探。

@soulteary 更坑的是小规模cc混合http slow， 表面上看是cc，实际上卡死的slow

@pubby -> fail2ban

不过这么频繁检查日志，对于大流量的网站来说会死得很惨哦

@msg7086 为什么会死很惨？

@pubby 因为大流量的网站，accesslog每时每刻都在更新，所以fail2ban会一直收到inotify。

@msg7086 每次先将accesslog mv到一个临时文件的。所以accesslog中只有10s内的数据

@pubby 你真的知道「文件句柄」这种东西吧……
还有，你要怎么每10秒执行一次？你知道cron是每分钟一发的吧……

@msg7086 我当然知道cron的精度只有1分钟 10秒执行一次自然是脚本自己控制的
莫非你以为10s还处理不了10s内access log数据?

@pubby 不对不对…我说的是fail2ban的情况。

这种分析accesslog的东西我以前做好，但是不停地让web server重新打开文件太麻烦了，还不如用lua+redis来做，方便多了。我做的是bt tracker。

s/做好/做过/