阿六就真的那麼閒嗎? 每天砍我200G的流量

公司交待我弄個論壇出來玩玩, 從20號開始流量彷彿著魔一樣每日瘋狂飆昇, 有圖為證:
[IMG]http://www.aiai99.cc/shrek/image/2008-07-30_050046.png[/IMG]

如果公司業績或股市指數也能這樣跳不知道有多好, 以下是用戶來源分析:
[IMG]http://www.aiai99.cc/shrek/image/2008-07-30_050144.png[/IMG]

從表中可以看出流量幾乎全是來自中國和美國的用戶端(嚴重懷疑這一樣是中國人掛美國PROXY), 人家根本不想做你們生意, 卻死皮賴臉的趕也趕不走. 昨天火大了, 用htaccess把中國的IP擋掉, 情形就好很多, 今天打算再把美國的IP擋掉, 沒想到列出來差點沒嚇死我, 中國+美國的IP列表長達6萬多行, 全寫進.htaccess幾乎快1MB. 雖然這樣大概可以解決我的問題, 可是再仔細想想, 每個QUERY都會用掉我900多K的頻寬, 好像一樣很豬頭. 想說回頭寫正向列表好了, 卻怎麼搞都搞不定, 寫好一存檔就ERROR500, 有點頭痛. 請問各位有什麼好建議嗎?

小弟建議一下HTACCESS不用寫的這麼沒效率,美國的IP只要來一各IP就封鎖一段就可以了,效能會比較好一點.

是Linux的話,靠iptables吧
Windows的話..暫時沒想到

不過一天能計算出上百G的流量
要注意是不是被人放了什麼檔案讓人家狂下載
或者是典型的DDOS

看Log吧

直接封 /16 吧

另外也可以找一些規則出來，用 mod_security 把它封掉

我一直不信邪為何正向列表不會WORK，反覆檢查之下終於發現是自己豬頭打錯標點，有一行IP的/打成.了，難怪會ERROR500。找到原因之後一切問題迎刃而解，.htaccess也從960K急速塑身到4K，資料量則由66000行減為180行，整理完畢後還挺有成就感的。順手放上台灣IP列表如附件（IP與TWNIC同步更新至2008/07/22），如果有需要的網友請自行服用。這幾天算CIDR算到眼睛花花，也順手合併許多因ISP不同而切割的連續網段，附件資料已經力求正確，但恐怕疏漏仍是難免，網友勿怪。

其實....
我一年多前有寫個程式(PHP寫的)
直接去TWNIC撈網頁把資料拉出來
剛剛測了一下,還是可用的 XD
不過沒有合併網段...
所以共409筆資料................
有興趣的話我再把那個程式放出來
可任選國家
顯示起始IP,結束IP,網段,Submask,IP個數

[QUOTE=tvirus;1025404]................
有興趣的話我再把那個程式放出來
可任選國家
顯示起始IP,結束IP,網段,Submask,IP個數[/QUOTE]

哦 所以也包含其他國家的網段嗎？
如果有的話我還蠻想要的:)

[QUOTE=Zuchen;1025421]哦 所以也包含其他國家的網段嗎？
如果有的話我還蠻想要的:)[/QUOTE]
詳見附檔囉
顯示頁面是UTF-8
但是TWNIC那邊是BIG5 :cool:
記得改檔名嘿
因為是個PHP程式
所以請[[SIZE="7"]不要問我怎麼用[/SIZE]]

[QUOTE=tvirus;1025460]詳見附檔囉
顯示頁面是UTF-8
[/QUOTE]
謝謝！收下了
直接從TWNIC調資料的話應該都是最新的吧~

缺點是如果查美國要等很久
33723筆資料…

[QUOTE=Zuchen;1025464]謝謝！收下了
直接從TWNIC調資料的話應該都是最新的吧~

缺點是如果查美國要等很久
33723筆資料…[/QUOTE]

執行這php時是即時去TWNIC抓資料回來
本來是設計要丟進MySQL資料庫
判斷更新日期
比較新就先更新資料庫才顯示
沒更新的話就直接從資料庫撈出來
後來覺得不需要特意把這東西搞到這麼王道,就這樣用吧 :D

當初設計這東東的原因是,某位朋友的公司需要設定某臺機器只針對某國開放(只能用xxx.xxx.xxx.xxx/oo)
所以特地有寫這個網段顯示
相同的東西也可以改一下後就直接丟進iptables設定 XD (專擋某國...嗯...)

[QUOTE=tvirus;1025502]當初設計這東東的原因是,某位朋友的公司需要設定某臺機器只針對某國開放(只能用xxx.xxx.xxx.xxx/oo)
所以特地有寫這個網段顯示
相同的東西也可以改一下後就直接丟進iptables設定 XD (專擋某國...嗯...)[/QUOTE]

只是不曉得設定ip黑名單之後
對使用跳板或是網路匿名（如tor）的人不知還有沒有效？

用htaccess設定黑名單IP的方式的話.....
Web設定幾乎只看該連線最後的IP(沒記錯的話)
A透過Proxy B連到你的主機
如果你有擋了B的網段,那當然OK
如果A透過Proxy C連到你的主機
那當然沒輒

嗯 也就是說如果它使用的Proxy不在黑名單的區段裡面的話
想擋也擋不住哩~

[QUOTE=Zuchen;1025548]嗯 也就是說如果它使用的Proxy不在黑名單的區段裡面的話
想擋也擋不住哩~[/QUOTE]
這就是為什麼擋了中國IP還不夠，還要擋美國IP(防PROXY)，最後乾脆寫成正向表列只ALLOW台灣IP可以連入的原因。當然啦，如果阿六改掛台灣PROXY還是一樣防堵不了，不過我的目的只是要把流量降下來，現在這樣我覺得已經OK了

無意中發現您在另一篇關於WebHosting的文章講到每天的流量
其實......

如果你有大檔案讓別人下載的話
那個都是參考值而已

8Mb/640Kb的時候我就創過一天1xxG的流量統計
實際流量也不過5xxMB.......
所以當時才警覺到需要限連線數
這個,有自己架主機架站的就會知道 :P

[QUOTE=tvirus;1025807]如果你有大檔案讓別人下載的話
那個都是參考值而已[/QUOTE]

雖然我沒有自己架過站不知為何
但可能以後會需要

為什麼那只是參考值呢？
是否因為訪客用續傳軟體多點下載的關係
（所以流量就會變成檔案大小x n倍？）

89.236.2.201 - - [03/Aug/2008:05:45:55 +0800] "GET /xx/5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe HTTP/1.1" 206 81853987
89.236.2.201 - - [03/Aug/2008:05:45:43 +0800] "GET /xx/5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe HTTP/1.1" 206 12594405
89.236.2.201 - - [03/Aug/2008:05:45:55 +0800] "GET /xx/5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe HTTP/1.1" 206 18888183
221.194.193.179 - - [03/Aug/2008:07:07:10 +0800] "GET /xx/5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe HTTP/1.1" 206 15743006
221.194.193.179 - - [03/Aug/2008:07:07:10 +0800] "GET /xx/5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe HTTP/1.1" 206 72417540
221.194.193.179 - - [03/Aug/2008:07:07:07 +0800] "GET /xx/5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe HTTP/1.1" 206 56674822
你覺得像這種多點續傳的方式
網頁分析程式會聰明到當成一個檔案的大小來看
還是個別分次來看? :P

現在比較好了,因為我限制連線數
不然以前是一個檔案開30~50個連線數
而且也不是真正的傳檔,是故意多點續傳
流量不大,反而是在操我的Apache跟吃記憶體
也算是某種程度上的DDOS
所以後來靠著fail2ban及mod_limitipconn外加iptables直接擋掉某國
熱門嗎?這是攻擊吧 XD

嗯....
好像看不太懂
雖然那個檔名還蠻引人注目的:jump2:

不過我一直以為網路流量是算實際傳輸出去的bytes
而不是由檔案大小乘於下載次數

由於論壇性質的差異，我認為直接在這裡公佈我的網站並不妥當。不過站上有幾個比較熟識的網友都知道我的站是在幹什麼的，我只能說實情並不是如tvirus所猜想的放幾個大檔供人多線程下載，謝謝指教。

有單純大陸 IP 列表嗎 ? (掛國外 Proxy 的不理會)

大陸大多都是小白，小弟猜測90％都是所謂“肉雞”

[QUOTE=tvirus;1025502]執行這php時是即時去TWNIC抓資料回來
本來是設計要丟進MySQL資料庫
判斷更新日期
比較新就先更新資料庫才顯示
沒更新的話就直接從資料庫撈出來
後來覺得不需要特意把這東西搞到這麼王道,就這樣用吧 :D

當初設計這東東的原因是,某位朋友的公司需要設定某臺機器只針對某國開放(只能用xxx.xxx.xxx.xxx/oo)
所以特地有寫這個網段顯示
相同的東西也可以改一下後就直接丟進iptables設定 XD (專擋某國...嗯...)[/QUOTE]

先收到這實用的php..3q3q
直接把某國deny列表塞進 .htaccess
38KB應該還好

看了列表，應該沒擋到香港HK才是

[QUOTE=tvirus;1025824]89.236.2.201 - - [03/Aug/2008:05:45:55 +0800] "GET /xx/[COLOR="Red"]5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe[/COLOR] HTTP/1.1" 206 81853987
89.236.2.201 - - [03/Aug/2008:05:45:43 +0800] "GET /xx/[COLOR="Red"]5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe[/COLOR] HTTP/1.1" 206 12594405
89.236.2.201 - - [03/Aug/2008:05:45:55 +0800] "GET /xx/[COLOR="Red"]5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe[/COLOR] HTTP/1.1" 206 18888183
221.194.193.179 - - [03/Aug/2008:07:07:10 +0800] "GET /xx/[COLOR="Red"]5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe[/COLOR] HTTP/1.1" 206 15743006
221.194.193.179 - - [03/Aug/2008:07:07:10 +0800] "GET /xx/[COLOR="Red"]5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe[/COLOR] HTTP/1.1" 206 72417540
221.194.193.179 - - [03/Aug/2008:07:07:07 +0800] "GET /xx/[COLOR="Red"]5_1_0_3100_7jba08ww_BitchChinaGoDie%E5%A9%8A%E5%AD%90%E4%B8%AD%E5%9C%8B%E6%AD%BB%E5%BE%97%E7%88%BD.exe[/COLOR] HTTP/1.1" 206 56674822
你覺得像這種多點續傳的方式
網頁分析程式會聰明到當成一個檔案的大小來看
還是個別分次來看? :P

現在比較好了,因為我限制連線數
不然以前是一個檔案開30~50個連線數
而且也不是真正的傳檔,是故意多點續傳
流量不大,反而是在操我的Apache跟吃記憶體
也算是某種程度上的DDOS
所以後來靠著fail2ban及mod_limitipconn外加iptables直接擋掉某國
熱門嗎?這是攻擊吧 XD[/QUOTE]
5_1_0_3100_7jba08ww_BitchChinaGoDie婊子中國死得爽.exe

罵的好

[QUOTE=p055877632;1037537]5_1_0_3100_7jba08ww_BitchChinaGoDie婊子中國死得爽.exe

罵的好[/QUOTE]

阿六阿六不要來,:p
謝過 Davis , tvirus 2位網友的資源囉.

就技術層面的部份，我不懂！
就阿六就真的那麼閒嗎？我可以告訴你，閒人真的很多、很多！

"阿六" 是甚麼 ?

[QUOTE=pcboy;1043678]"阿六" 是甚麼 ?[/QUOTE]

你有沒有先看前面的討論啊...
阿六= 阿陸 = 大陸仔:jump2:

[QUOTE=pcboy;1043678]"阿六" 是甚麼 ?[/QUOTE]
台語的"阿陸仔"

貶損的話就少說了吧,不然就降低了自己的格調,不就跟他們一樣了?
話說,說不定是資訊部隊在打資訊站,把論壇當戰場了也說不定.

[QUOTE=rushoun;1043726]貶損的話就少說了吧,不然就降低了自己的格調,不就跟他們一樣了?
話說,說不定是資訊部隊在打資訊站,把論壇當戰場了也說不定.[/QUOTE]
沒Log
當事人自己也不願細說
根本不會有人知道,到底花生了啥素

剛剛無聊想到
iptables對大陸封鎖解除
看看這一兩天流量會飆多少 XD

很無聊的結果
23號 981017 KB
24號 1150939 KB
資料來源Webalizer Version 2.01
RX bytes:404132602 (385.4 MiB) TX bytes:2130991545 (1.9 GiB)
資料來源ifconfig
運作時間 2 天 4 小時 48 分鐘
而且我還有其它系統服務(NTP,FTP,DNS)實際流量全部加起來才1.9xG(而且是從開機到1/25早上5點)
Webalizer分析網頁Log 23號,24號就已經2.0xG 了 XD
(PS:我沒開網頁壓縮)