先大概说说简单的结构前端一个Nginx反向代理,后端一个NginxinstanceappforPHP实际上就是个Discuz,之前面对CC攻击都是预警脚本或者走CDN,但是这次攻击者不再打流量,而是针对数据库请求页面进行攻击,如search操作帖子IDF5等..从日志分析来看是从3个URL着手攻击的,当时使用Nginx匹配$query_string来return503不过会导致页面不能访问,所以想到这么一个折中的办法。
首先你看一段代理请求的日志:
##通过分析,在后端发现其代理访问过来的数据都是两个IP的,默认情况下直接访问获取真实IP,其IP只有一个,而通过手机3G\4G上网则是2个IP,不过有匿名IP的话,到服务器则只有一个IP,这种就不太好判断了...
[root@ipythonconf]#tail-f/var/log/nginx/logs/access.log|grepahtax
120.193.47.34--[26/Sep/2014:23:34:44+0800]"GET/ahtax/index.htmlHTTP/1.0"5031290"-""Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/31.0.1650.63Safari/537.36""10.129.1.254,120.193.47.34"
使用PHP分析下访问时的_SERVER变量
复制代码