求高人帮忙写个脚本

总是吵架的猪

论坛被人不停地cc攻击  
log里边全是

124.132.XXX.XXX --- [22/Aug/2013:06:34:38 +0000] --- Bytes: 571 --- GET /thread-56846-1-1.html HTTP/1.1 --- 200 --- http://www.123.com  --- Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko) Chrome/28.0.1500.72  --- - --- -

现在是 nginx 根据ua来封   分析这个人cc攻击都是一样的ua  直接判断返回404
if ($http_user_agent ~* (537|Download) ) {
return 404;
}

但是这个人的ua过一段时间就会变  应该是发觉的根据ua判断了 人工改的ua

有谁能帮忙写一个脚本  读取log 只要发现相同的ua 不停的get同样的一个页面  比如 http://www.123.com/thread-102970-1-1.html
就能直接把这个ua加到 nginx  这样也不用老是看日志
昨天被dos攻击  linode 空路由  今天又被不停cc攻击

谁能帮忙解决一下  送一百元 啊亲  充话费 支付宝转账都行啊  现在实在烦死了

_____________Cc

          楼下脚本帝
                                                                                                                                                    ——来自楼主的小雏菊

总是吵架的猪

_____________Cc 发表于 2013-8-22 15:53
楼下脚本帝
                                                                                ...

foxconndmd

固定IP直接封IP
nginx或Iptables限制单IP单位时间内连接次数
脚本读取日记单位时间内访问次数较多的IP封掉

BOOM

禁了美国IP。最简单的办法~

总是吵架的猪

BOOM 发表于 2013-8-22 16:01
禁了美国IP。最简单的办法~

也有国内的ip啊 什么ip都有

hitsword

CC防御无压力。

Host.HowPick

一般都是机房的 IP。

如果太多， 直接禁止某个机房的IP。

我已经封了 OVH 的 2 - 3 个 /16，  还有 饭桶的， RAK 的几个 /2x 。

kwx

总是吵架的猪 发表于 2013-8-22 16:10
也有国内的ip啊 什么ip都有

淘宝那边1元可以买到数千个IP了