刷票行为
,一直以来都是个难题,无法从根本上防止。但是我们可以尽量减少刷票的伤害,比如:通过人为增加的逻辑限制。
基于 php
,下面介绍防刷票的一些技巧:
$ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "http://localhost/2.php"); curl_setopt($ch, CURLOPT_HTTPHEADER, array('X-FORWARDED-FOR:8.8.8.8', 'CLIENT-ip:8.8.8.8')); curl_setopt($ch, CURLOPT_REFERER, "http://localhost/ "); curl_setopt($ch, CURLOPT_HEADER, 1); curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.0)"); $out = curl_exec($ch); curl_close($ch);
验证码
:采用非常复杂的验证码确切的说验证码的出现不是针对于人,而是针对于机器。通过复杂度和识别难易度的控制来阻拦掉一部分刷票机,从而减少刷票的发生。但随着软件技术、识别技术的发展越来越多的验证码面对着先进的刷票软件也失去了其防范的作用、但是专业刷票机可以攻破。如果不用验证码,投票基本就歇菜了,验证码获取方式,采用异步加载,即点击输入框时,才去请求,投票成功后,删除验证码的 session
限时投票
比如:从早8点至晚23 点
投票间隔
用户投票后,需要隔多长时间才能继续投。很多投票站点基本上都有这个限制,但是对于更改 IP的攻击,就没办法了
投票结果展示
:延迟展示,友好展示页面上投票,JS 立马加1,但是刷新页面,不一定立马展示最新投票结果,返回状态给页面(感谢您的投票!或者 投票成功!至于有没有成功,另说了!)
扣量逻辑
:常见于一些软件评选之类的投票Cookie
:常用的手段。比较低级加密选项 ID
:对一些投票选项的ID,进行随机加密可以使用这三个模块来限制,不过这不是一个好的解决方法
具体可以参见:关于nginx的限速模块
通过日志中的一些特征来封锁ip
cat access.log | grep 'Mozilla/5.0' | awk '{PRint "iptables -I INPUT -p tcp --dport 80 -s ", $1, "-j DROP"}'| sort -n | uniq | sh
限制连接
#60秒10个新连接,超过丢弃数据包 /sbin/iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP /sbin/iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT #限制与80端口连接的IP最大连接数为10 /sbin/iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT #防止ping洪水攻击,限制每秒的ping包不超过10个 /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT #防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,免得把数务器带宽耗尽了 /sbin/iptables -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m limit --limit 20/s --limit-burst 200 -j ACCEPT #拒绝ping请求或者 net.ipv4.icmp_echo_ignore_all = 1
具体脚本
#!/bin/bash # Date: 2015-09-29 # # Author: [email protected] shopt -s -o nounset export PATH=/usr/bin/:/bin iptables_log="/tmp/iptables_conf.log" /sbin/iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP /sbin/iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT /sbin/iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT while [ true ]; do #sleep 1 for IP in `netstat -an | grep -i ':80 '|grep 'ESTAB' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 > 30 && $2!="127.0.0.1" ) {print $2}}'` do /sbin/iptables -L -n | grep $IP >/dev/null || /sbin/iptables -A INPUT -p tcp --dport 80 -s $IP -j DROP echo "/sbin/iptables -A INPUT -p tcp -s $IP -j DROP" >> ${iptables_log} done done