まず简単な构造を言います...フロントエンドの1つのNginx逆エージェント、バックエンドの1つのNginx instance app for PHP...実はDiscuzで、前にCC攻撃に直面するのはすべてアラートスクリプトあるいはCDNを歩いて、しかし今回の攻撃者は流量を打つのではありませんて、データベースに対してページを求めて攻撃して、例えばsearch操作...投稿ID F 5など..ログ解析から見ると3つのURLから攻撃に着手しており、当時はNginxマッチング$query_を使用していた。stringはreturn 503に来ます...しかしページにアクセスできないので、このような折衷の方法を考えます。

##分析によると、バックエンドでエージェントがアクセスしてきたデータはすべて2つのIPであることが判明した。デフォルトでは直接アクセスして実際のIPを取得する。そのIPは1つしかないが、携帯電話の3 G4 Gでインターネットを利用すると2つのIPである。匿名のIPがあれば、サーバーに行くと1つのIPしかない。

　　[root@ipython conf]# tail -f /var/log/nginx/logs/access.log | grep ahtax

　　120.193.47.34 - - [26/Sep/2014:23:34:44 +0800] "GET /ahtax/index.html HTTP/1.0" 503 1290 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36" "10.129.1.254, 120.193.47.34"