將下面的腳本放入到系統(tǒng)定時(shí)任務(wù)中���,定時(shí)(2-5分鐘�����,可根據(jù)具體情況做相應(yīng)調(diào)整)執(zhí)行����。
確定一個(gè)判斷不正常的流量的數(shù)量,凡是大于該數(shù)量的來源一律清洗����。
當(dāng)然這里有可能會(huì)有誤判,所以在后面將正常的來源地址過濾掉�。
cat purge_traffic.sh
#!/bin/bash
if [ -f /var/log/nginx/www-access.log ]; then
tail -10000 /var/log/nginx/www-access.log | grep -E 'cps_site|tracert.php?source' | awk -F'"' '{if ($4 ~ /http:/){print $4}}' | awk -F 'http://www.3lian.com/' '{print $3}' | grep -v -E '.xxx.cn|.baidu.com|google.com' | sort | uniq -c | sort -nr | head -60 > /tmp/cps_site.log
cat /tmp/cps_site.log | awk '{if( $1 > 100 ){print $2}}' > /tmp/purge_cps.log
fi
2、nginx中調(diào)用的perl腳本�����,當(dāng)請(qǐng)求進(jìn)來時(shí)�,通過下面的腳本判斷Referer地址是否來自上面生成的需要清理的域名。
perl判斷腳本�,當(dāng)發(fā)現(xiàn)來源地址匹配時(shí)返回1
cat purgetraffic.pm
package purgeTraffic;
use nginx;
sub purge {
my $r = shift;
my $ua = $r->header_in("Referer");
if(! $ua ) { return 0; }
open(FILES, "/tmp/purge_cps.log") || return 0;
@cps_file=;
close(FILES);
foreach (@cps_file) {
my $eachcps = $_;
chomp $eachcps;
#$r->print($eachcps .'| ');
if ( $ua =~ m/$eachcps/ ) {
#return HTTP_NOT_ALLOWED;
return 1;
}
}
return 0;
}
1;
__END__
3、nginx.conf 中調(diào)用perl腳本��,符合清洗規(guī)則的來源直接返回 404,
http {
...
perl_modules /etc/nginx;
perl_require purgetraffic.pm;
...
perl_set $purge purgeTraffic::purge;
server {
server_name ;
if ($purge = 1) { return 404; } #屏蔽垃圾流量
...
}
}
重新加載nginx���,完成自動(dòng)流量清洗
還可以稍微修改一下perl腳本��,增加一個(gè)白名單���,減少誤判的可能�����。
