@willis

可能是，好像加速乐也有这样的防护措施

主要是一般人对这个都不怎么了解，写出来科普一下

@jarlyyn

对 CC 攻击者来说，在使用固定或者唯一 Token 的情况下，攻击成本是有差别的。

很多攻击软件是可以设置 http 头的，如果使用固定 Token ，攻击者只需要在本机获取一次 Token ，然后设置好 http 头就可以直接发起攻击了，攻击成本低的可以...

但是如果使用可变 Token ，基本市面上所有 CC 软件全都无法使用了

这样就需要使用 phantomjs 这类的软件，这类工具一般是设计用来作为爬虫的，对攻击来说，速度太慢了

@lecher

拦住搜索引擎是个问题，最好只是在被攻击的时候开启这个功能，平时关闭掉

@lecher

对的，这个就是针对 CC 攻击的一种防御思路，通过这个手段把不合法流量拦住。

对于暴力发包，只发不收的攻击来说，带宽都满了，并并不能通过这种方式进行防御。

生成 Token 的资源消耗还好，我在单核心的虚拟机中测试 VeryNginx ，同时运行 ab 和 VeryNginx ，性能在 6000 Qps 左右，实际上 nginx 单个 Worker 可能可以跑到 1W Qps 。

@scarlex

啊，不要在意这些细节😱

@soolby

太抬举了😁

@H3x @jarlyyn

唯一的 Token 限制了必须能收到回包才可以继续访问。

如果通过多个代理服务器进行攻击

固定 cookies 的情况下，只需要把 cookies 提取出来，然后攻击步骤是：
连接代理->发送请求->断开连接 的过程，

唯一 Token 的情况：
连接代理->发送请求->收到回包->解析包获取 Token->再次发送攻击请求->断开连接

这样攻击的速度会大大降低。

@H3x
如果要进行一次 CC 攻击，过程一般是这样，连接一个代理服务器，发送 http 请求，然后立刻断开连接。这里断开是为了避免受到服务器的回包，因为服务器通常带宽很大，回包都过来的话容易把自己堵死。

网上随便就能下载到很多攻击软件，大概行为模式都是这样。

在添加了一次 Token 验证之后，这类攻击软件就基本不可用了，如果想发起攻击，就只能从头开始编写专门的工具，在普通攻击的方式上完成 Cookies 验证这一步。但具体来说，攻击者在编写这个工具的过程中还需要实现多线程(或者异步)，以及通过代理服务器进行连接这些特性，才可以发起一定强度的攻击。

对于通过返回一个网页，然后通过 Javascript 设置 cookies 的情况，这样攻击工具可能还需要外挂一个 js 的执行环境...

效果就是发起一次攻击的成本大大增加了。

实际上也并没有绝对的防御方式，我们所能做的也就是不断提高攻击者的成本。

@tftk 愿闻其详

@CrazySpiderMan
客气啦，我觉得 p2pspider 也很不错，这个想法很棒，再完善完善，可能成为一个超叼的开源项目

大家一起加油⛽️⛽️

感觉楼主这个有点走偏了，满满的求 star 味道，这样求来的 star 是木有意义的

个人认为开源一个项目，重要的是能给其他人带来价值，这样自然会有 star

ps ：建议先把文档弄好，这样 star 才会多，而不是说到了 1000star 才放文档...

通知一下，经过这段时间的开发， VeryNginx 有了一个大更新，也修正了不少 bug

现已经合并到 master 了，作为 v0.2-beta 版本发布了

主要变更见：
https://www.v2ex.com/t/257521#reply11

呃，那个，最早的版本确实有不少奇怪的 bug ，大家抽空及时更新吧
@wph95 @rrfeng @kenneth @withrock

@canglaoshi

可以的，已经在排着啦

Rails 笑了

@kmahyyg

接上一条

要注意的是，如果连接数目大，或者使用了缓存的情况下， Nginx 也会使用更多的内存

@kmahyyg

和 Nginx 官方版本相比，多了个 Lua 解释器，另外使用了 21M 的共享内存，并没有哪儿用到大内存

在我本地用作反向代理的情况下，大概占用不到 100M

要注意的是，如果连接数目大，或者使用了缓存

@liwanglin12

让我们一步步向前走，先把基本功能做好了...

@Yamade 你是说 IP 黑名单吗，在 IP 过滤里面配置就可以了

@xuhaoyangx 对的，让 VeryNginx 目录对 nginx 进程可写就行了，因为会保存配置在里面