Discuz自带参数防御CC攻击和原理分析

CC攻击确实是很蛋疼的一种攻击方式，Discuz!的配置文件中已经有了一个自带的减缓CC攻击的参数,在配置文件config.inc.php中：

$attackevasive = 0; // 论坛防御级别，可防止大量的非正常请求造成的拒绝服务攻击
// 防护大量正常请求造成的拒绝服务攻击,

这个参数可以设置的值有：
0表示关闭此功能
1表示cookie刷新限制
2表示限制代理访问
4表示二次请求
8表示回答问题（第一次访问时需要回答问题）
正常情况下设置为 0，在遭到攻击时，分析其攻击手法和规律，组合使用。 可以尝试先设置为 2， 2|4， 1|2|4|， 1|2|4|8， 如果 1|2|4|8 还不行，应用程序层面上已经抵挡不住，可能主机遭受的攻击来自于僵尸网络的 DDOS 攻击了，建议从防火墙策略上入手。
在source/class/class_core.php文件中可以找到如下代码：

if($this->config['security']['attackevasive'] && (!defined('CURSCRIPT') || !in_array($this->var['mod'], array('seccode', 'secqaa', 'swfupload')))) {
require_once libfile('misc/security', 'include');
}

$this->config[‘security’][‘attackevasive’]

为config_global.php文件里设置的

$_config[‘security’][‘attackevasive’]

的值。
找到source/misc/misc_security.php文件

if(is_string($this->config['security']['attackevasive'])) {
//如果$this->config['security']['attackevasive']是字符串
$attackevasive_tmp = explode('|', $this->config['security']['attackevasive']);

根据分隔符|分割

$this->config['security']['attackevasive']

得到数组

$attackevasive_tmp
$attackevasive = 0;
foreach($attackevasive_tmp AS $key => $value) {
$attackevasive += intval($value);
//将数组$attackevasive中每项的值加起来得到$attackevasive
}
unset($attackevasive_tmp);
} else {
$attackevasive = $this->config['security']['attackevasive'];
}
$lastrequest = isset($_G['cookie']['lastrequest']) ? authcode($_G['cookie']['lastrequest'], 'DECODE') : '';

获取上一次请求的时间。

$_G[‘cookie’][‘lastrequest’]为记录上一次请求时间的cookie。
if($attackevasive & 1 || $attackevasive & 4) {
dsetcookie('lastrequest', authcode(TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
}

如果设置的是cookie刷新限制($attackevasive & 1)或者二次请求($attackevasive & 4)的方式，那么创建以当前时间为值的上一次请求的cookie。

if($attackevasive & 1) {
if(TIMESTAMP - $lastrequest < 1) {
securitymessage('attackevasive_1_subject', 'attackevasive_1_message');
}
}

cookie刷新限制的方式：当前时间-上一次请求的时间<1的时候会有页面重载的提示。

if(($attackevasive & 2) && ($_SERVER['HTTP_X_FORWARDED_FOR'] ||
$_SERVER['HTTP_VIA'] || $_SERVER['HTTP_PROXY_CONNECTION'] ||
$_SERVER['HTTP_USER_AGENT_VIA'] || $_SERVER['HTTP_CACHE_INFO'] ||
$_SERVER['HTTP_PROXY_CONNECTION'])) {
securitymessage('attackevasive_2_subject', 'attackevasive_2_message', FALSE);
}

限制代理访问的方式。

if($attackevasive & 4) {
if(empty($lastrequest) || TIMESTAMP - $lastrequest > 300) {
securitymessage('attackevasive_4_subject', 'attackevasive_4_message');
}
}

二次请求的方式：当前时间-上一次请求时间>300秒的时候会有页面重载的提示。

if($attackevasive & 8) {
list($visitcode, $visitcheck, $visittime) = explode('|', authcode($_G['cookie']['visitcode'], 'DECODE'));
if(!$visitcode || !$visitcheck || !$visittime || TIMESTAMP - $visittime > 60 * 60 * 4 ) {
if(empty($_POST['secqsubmit']) || ($visitcode != md5($_POST['answer']))) {
$answer = 0;
$question = '';
for ($i = 0; $i< rand(2, 5); $i ++) {
$r = rand(1, 20);
$question .= $question ? ' + '.$r : $r;
$answer += $r;
}
$question .= ' = ?';
dsetcookie('visitcode', authcode(md5($answer).'|0|'.TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
securitymessage($question, '<input type="text" name="answer" size="8" maxlength="150" /><input type="submit" name="secqsubmit" class="button" value=" Submit " />', FALSE, TRUE);
} else {
dsetcookie('visitcode', authcode($visitcode.'|1|'.TIMESTAMP, 'ENCODE'), TIMESTAMP + 816400, 1, true);
}
}
}

疯狂暗示打赏按钮

本文标签：

声明：本文由代码号注册/游客用户【海露】供稿发布，本站不对用户发布的Discuz自带参数防御CC攻击和原理分析信息内容原创度和真实性等负责。如内容侵犯您的版权或其他权益，请留言并加以说明。站长审查之后若情况属实会及时为您删除。同时遵循 CC 4.0 BY-SA 版权协议，尊重和保护作者的劳动成果，转载请标明出处链接和本声明内容。本文作者：海露» https://www.ebingou.cn/dmh/16443.html

很赞哦！ ()