一、前言

每天都有很多网站上线，很少有网站对自己进行压力测试，对网站在线人数，网站吞吐量进行测试，结果是上线人数多一些，马上就卡顿，访问不了，出错等等问题。就算有一些公司想到要进行压力测试也是用一些微软，官网出的一些软件，一个ip发起很多访问。等有一天黑客攻击来了发现还是顶不住。华盟君认为知此知彼才是压力测试的关键点，应当模拟黑客手法进行压力测试才是上策。

华安普特网络科技有限公司2000年开始做防ddos,防cc攻击防护，现已经可以完美防护CC攻击，10g攻击免费防护，可以联系公众号，此篇文章只是小范围对自己的网站进行压力测试，请勿用于非法用途。

 

下面我简单介绍一下什么是Cc攻击

 

攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS,和伪装就叫：cc(ChallengeCollapsar)。

 

CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观。


一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了，但是论坛就不一样了，我看一个帖子，系统需要到数据库中判断我是否有读帖子的权限，如果有，就读出帖子里面的内容，显示出来——这里至少访问了2次数据库，如果数据库的数据容量有200MB大小，系统很可能就要在这200MB大小的数据空间搜索一遍，这需要多少的CPU资源和时间？如果我是查找一个关键字，那么时间更加可观，因为前面的搜索可以限定在一个很小的范围内，比如用户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索肯定会对所有的数据进行一次判断，消耗的时间是相当的大。

CC就是充分利用了这个特点，模拟多个用户（多少线程就是多少用户）不停的进行访问（访问那些需要大量数据操作，就是需要大量CPU时间的页面）.这一点用一个一般的性能测试软件就可以做到大量模拟用户并发。

知道是什么是Cc攻击之后，我们应当如此模拟黑客对自己网站进行CC压力测试呢？

第一步，我们应当有很多http代理，模拟客户访问。，我们先怎么得到http的代理服务器呢？

1，网上有很多免费的http代理服务器，我们可以先收集一些

2，我们自己架设一些http代理服务器，用来做压力测试。

 

先介绍一下收集http代理服务器，

 

在百度搜索“http代理”会有很多网站提供免费的http代理，你只需要复制下来，整理出来，用软件进行验证是否可用，

比如这个网站就提供http代理，

http://www.kuaidaili.com/

 

验证HTTP代理

 

验证软件，花刺代理验证就可以，



网上免费的不是怎么好用的，还需要自己架设一些，

 

Windows架设http代理

 

下面我们说一下如何在windows,centos,ubuntu开启http代理

windows下有ccproxy免费绿色带破解的网上可以搜索到，

运行之后就这样子，



建议架设好之后，要帐号里设置一个ip为允许的，要不然会被别人扫描，别人也能用你的代理服务器了，



 

Linux Ubuntu 开启http代理 tinyproxy

 

windows系统一直在用ccproxy,非windows系统，怎么开放个http代理呢？这里给搞个简单的软件，支持Linux Ubuntu ，用http代理做什么用？比如Cc攻击测试,隐藏自己的ip什么的，

代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。

二、搭建环境



* Linux Ubuntu

* tinyproxy


三、ubuntu安装方法


$sudo apt-get install tinyproxy

安装后自动以root权限开启了tinyproxy服务，且默认监听端口是8888


四、启动帮助


$tinyproxy --help

Usage: tinyproxy [options]

Options are:

-d Do not daemonize (run in foreground).

-c FILE Use an alternate configuration file.

-h Display this usage information.

-l Display the license.

-v Display version information.


五、根用户的启动方法


* 默认启动

$sudo service tinyproxy start

* 重启

$sudo service tinyproxy restart

* 停止

$sudo service tinyproxy stop


六、配置


4.1 默认配置文件位置


/etc/tinyproxy.conf

(可以从/etc/init.d/tinyproxy包装器脚本中查到)


4.2 默认配置说明


* 以根用户启动时，在初始化完成后切换uid/gid为nobody/nogroup

* Port 默认监听端口为8888(该端口无需用root权限绑定)

* 默认在所在网卡上监听

* Logfile (必须)日志文件, 默认/usr/var/log/tinyproxy/tinyproxy.log，在LogFile文件不存在时会警告，不会运行失败。

* Pidfile (必须)pid文件, 默认/usr/var/run/tinyproxy/tinyproxy.pid，在PidFile文件不存在时会运行失败。

* StartServers 初始启动的代理服务器子进程(默认是10个)

*** Allow 允许使用tinyproxy进行HTTP代理的IP地址。默认是127.0.0.1，如果想要公开tinyproxy代理服务器，则把Allow一行注释掉。


4.3 配置说明

tinyproxy可以以普通用户权限运行，只要监听端口是公开的就可以了。具体Diy配置方法如下:

-- 打包可执行程序与默认配置文件 --

1. $which tinyproxy

/usr/sbin/tinyproxy

2. $cp /usr/sbin/tinyproxy ~/bin

3. $cp /etc/tinyproxy.conf ~/etc

-- 修改配置 --

1. 将Port默认的8888改成你想要的端口(如ljysrv上面的8990 TCP端口)

2. 将Allow 127.0.0.1注释掉

3. 将Logfile改为/tmp/tinyproxy.log

4. 将PidFile改为/tmp/tinyproxy.pid

-- 启动 --

1. $cd ~/bin

2. $./tinyproxy -c ~/etc/tinyproxy.conf

-- 关闭 --

1. $killall tinyproxy

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

cent os6.5下安装tinyproxy的教程，


rpm -Uvh http://dl.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm

yum update -y

yum install tinyproxy -y

vi /etc/tinyproxy/tinyproxy.conf


Port 8888 //预设是8888 Port,你可以更改

Allow 127.0.0.1 //将127.0.0.1改成你自己的IP

//例如你的IP 是1.2.3.4,你改成Allow 1.2.3.4,那只有你才可以连上这个Proxy

//若你想任何IP都可以脸到Proxy在Allow前面打#注释

service tinyproxy start

 



启动软件之后，可以

netstat -ntl

查看一下自己的代理端口是否开放，我这开放的8167端口，

架设完代理之后，我们可以用http代理软件验证一下，可以用的代理保存一份，



 

导出这些代理之后，就像这样



下一篇，我们正式开始利用这些http代理进行Cc压力测试，我们模拟一天80～100万pv的访问量对网站进行压力测试，还测试网站数据库查询性能，等................

问题描述

用户在访问ECS服务器上的网站时，提示如下错误：



解决方案


如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。
	
如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。
	
如果您在云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。


这是由于云盾的应用防火墙对URL访问判定存在攻击行为，从而进行了安全拦截。用户可以将自己的本地公网IP，添加到云盾应用防火墙的白名单中，这样就可以避免在正常测试访问中遭遇安全拦截。具体的操作步骤，详情请参考如下KB文档。

KB 37914 通过设置白名单解决因误判IP被拦截问题

SEO链接优化之robots.txt的写法。什么是robots.txt?这是一个文本文件，是搜索引擎爬行网页要查看的第一个文件，你可以告诉搜索引擎哪些文件可以被查看，哪些禁止。当搜索机器人访问一个站点时，它首先会检查根目录是否存在robots.txt，如果有就确定抓取范围，没有就按链接顺序抓取。

seo优化，如何对网站的robots.txt进行设置

　robots.txt有什么用？为何需要用robots.txt这个文件来告诉搜索机器人不要爬行我们的部分网页，比如：后台管理文件、程序脚本、附件、数据库文件、编码文件、样式表文件、模板文件、导航图片和背景图片等等。说到底了，这些页面或文件被搜索引擎收录了，用户也看不了，多数需要口令才能进入或是数据文件。既然这样，又让搜索机器人爬行的话，就浪费了服务器资源，增加了服务器的压力，因此我们可以用robots.txt告诉机器人集中注意力去收录我们的文章页面。增强用户体验。

　　1、用robots屏蔽网站重复页

　　很多网站一个内容提供多种浏览版本，虽然很方便用户却对蜘蛛造成了困难，因为它分不清那个是主，那个是次，一旦让它认为你在恶意重复，你就惨了

　　User-agent： *

　　Disallow： /sitemap/ 《禁止蜘蛛抓取 文本网页》

　　2、用robots保护网站安全

　　很多人纳闷了，robots怎么还和网站安全有关系了?其实关系还很大，不少低级黑客就是通过搜索默认后台登陆，以达到入侵网站的目标

　　User-agent： *

　　Disallow： /admin/ 《禁止蜘蛛抓取admin目录下所有文件》

　　3、防止盗链

　　一般盗链也就几个人，可是一旦被搜索引擎“盗链”那家伙你100M宽带也吃不消，如果你做的不是图片网站，又不想被搜索引擎“盗链”你的网站图片

　　User-agent： *

　　Disallow： .jpg$

　　4、提交网站地图

　　现在做优化的都知道做网站地图了，可是却没几个会提交的，绝大多数人是干脆在网页上加个链接，其实robots是支持这个功能的

　　Sitemap： http:-www-***-com/sitemaps/sitemaps.xml

　　5、禁止某二级域名的抓取

　　一些网站会对VIP会员提供一些特殊服务，却又不想这个服务被搜索引擎检索到

　　User-agent： *

　　Disallow： /

　　以上五招robots足以让你对搜索引擎蜘蛛掌控能力提升不少，就像百度说的：我们和搜索引擎应该是朋友，增加一些沟通，才能消除一些隔膜。

seo优化，如何对网站的robots.txt进行设置

　　robots.txt基本语法：

　　1、robots.txt的几个关键语法：

　　a、User-agent: 应用下文规则的漫游器，比如Googlebot,Baiduspider等。

　　b、Disallow: 要拦截的网址,不允许机器人访问。

　　c、Allow: 允许访问的网址

　　d、”*” : 通配符—匹配0或多个任意字符。

　　e、”$” : 匹配行结束符。

　　f、”#” : 注释—说明性的文字,不写也可。

　　g、Googlebot: 谷歌搜索机器人(也叫搜索蜘蛛)。

　　h、Baiduspider: 百度搜索机器人(也叫搜索蜘蛛)。

　　i、目录、网址的写法:都以以正斜线 (/) 开头。

　　如

　　Disallow:/

　　Disallow:/images/

　　Disallow:/admin/

　　Disallow:/css/

　　2、列举一些robots.txt 具体用法：

　　(1)允许所有的robot访问

　　User-agent: *

　　Disallow:

　　或者

　　User-agent: *

　　Allow: /

　　或者建一个空文件”robots.txt”即可。

　　(2)仅禁止某个机器人访问您的网站，如Baiduspider。

　　User-agent: Baiduspider

　　Disallow: /

　　3、仅允许某个机器人访问您的网站，如Baiduspider。

　　User-agent: Baiduspider

　　Disallow:

　　User-agent: *

　　Disallow: /

　　4、禁止访问特定目录

　　User-agent: *

　　Disallow: /admin/

　　Disallow: /css/

　　Disallow:

　　要拦截对所有包含问号 (?) 的网址的访问(具体地说，这种网址以您的域名开头、后接任意字符串，然后接问号，而后又接任意字符串)，请使用以下内容：

　　User-agent: Googlebot

　　Disallow: /*?

　　要指定与某个网址的结尾字符相匹配，请使用 $。例如，要拦截以 .xls 结尾的所有网址，请使用以下内容： User-agent: Googlebot

　　Disallow: /*.xls$

　　您可将此模式匹配与 Allow 指令配合使用。例如，如果 ? 代表一个会话 ID，那么您可能希望排除包含 ? 的所有网址，以确保 Googlebot 不会抓取重复网页。但是以 ? 结尾的网址可能是您希望包含在内的网页的版本。在此情况下，您可以对您的 robots.txt 文件进行如下设置：

　　User-agent: *

　　Allow: /*?$

　　Disallow: /*?

　　Disallow: /*? 指令会阻止包含 ? 的所有网址(具体地说，它将拦截所有以您的域名开头、后接任意字符串，然后接问号，而后又接任意字符串的网址)。

　　Allow: /*?$ 指令将允许以 ? 结尾的任何网址(具体地说，它将允许所有以您的域名开头、后接任意字符串，然后接 ?，? 之后不接任何字符的网址)。

　　以上介绍多数都是Google的http:-www-google-com/support/we … cn&answer=40360，百度的大同小异具体可以看http:-www-baidu-com/search/robots.html

　　一般网站查看robots.txt文件的方法是主页后面加robots.txt就可以，比如淘宝网的就是http:-www-taobao-com/robots.txt请注意，仅当您的网站包含不希望被搜索引擎收录的内容时，才需要使用robots.txt文件。如果您希望搜索引擎收录网站上所有内容，请勿建立robots.txt文件。

seo优化，如何对网站的robots.txt进行设置

　　网站Robots.txt协议，你懂多少?

　　　网站Robots.txt文件，是网站与搜索引擎交流的通用协议，通过Robots协议的设置告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取：一方面可以做网站安全的防护，更重要的是用来做优化，减少无效页面的收录，提升站点的排名效果。..

　　..

　　但是在实际的操作中，绝大多数的网站，在其撰写上都存在或多或少的欠缺，甚至由于技术性的错误撰写，还会导致网站降权、不收录、被K等一系列问题的出现。对于这一点，A5营销，包括我，在对客户的SEO诊断过程中，会经常遇到，可以算是很多站点的通病。今天写出这篇文章，就是来做一个分享：关于robots.txt协议，你写对了吗?

　　一：设置成Allow全站点抓取

　　百度收录的越多，网站的排名越高?这是绝大多数站长的认为，事实上也是如此。但是也并非绝对成立：低质量的页面收录，会降低网站的排名效果，这一点你考虑到了吗?

　　如果你的网站结构不是非常的清晰，以及不存在多余的“功能”页面，不建议对网站开全站点的抓取，事实上，在A5的SEO诊断中，只遇到极少数的一部分网站，可以真正的做到全站点都允许抓取，而不做屏蔽。随着功能的丰富，要做到允许全站点抓取，也不太可能。

　　二：什么样的页面不建议抓取

　　对于网站功能上有用的目录，有用的页面，在用户体验上可以得到更好的提升。但是搜索引擎方面来讲，就会造成：服务器负担，比如：大量的翻页评论，对优化上则没有任何的价值。

　　除此外还包含如：网站做了伪静态处理后，那么就要将动态链接屏蔽掉，避免搜索引擎抓取。用户登录目录、注册目录、无用的软件下载目录，如果是静态类型的站点，还要屏蔽掉动态类型的链接Disallow: /*?* 为什么呢?我们举个例子来看：

 

　　上面是某客户网站发现的问题，被百度收录的原因是：有人恶意提交此类型的链接，但是网站本身又没有做好防护。

　　三：撰写上的细节注意事项

　　方法上来讲，绝大多数的站长都明白，这里就不做多说了，不明白的站长，可以上百度百科看一下。今天这里说一些不常见的，可能是不少站长的疑问。

　　1、举例：Disallow; /a 与Disallow: /a/的区别，很多站长都见过这样的问题，为什么有的协议后加斜杠，有的不加斜杠呢?笔者今天要说的是：如果不加斜杠，屏蔽的是以a字母开头的所有目录和页面，而后者代表的是屏蔽当前目录的所有页面和子目录的抓取。

　　通常来讲，我们往往选择后者更多一些，因为定义范围越大，容易造成“误杀”。

　　2、JS文件、CSS需要屏蔽吗?不少网站都做了这个屏蔽，但是笔者要说的是：google站长工具明确的说明：封禁css与js调用，可能会影响页面质量的判断，从而影响排名。而对此，我们做了一些了解，百度方面同样会有一定影响。

　　3、已经删除的目录屏蔽，很多站长往往删除一些目录后，怕出现404问题，而进行了屏蔽，禁止搜索引擎再抓取这样的链接。事实上，这样做真的好吗?即使你屏蔽掉了，如果之前的目录存在问题，那么没有被蜘蛛从库中剔除，同样会影响到网站。

　　建议最佳的方式是：将对应的主要错误页面整理出来，做死链接提交，以及自定义404页面的处理，彻底的解决问题，而不是逃避问题。

2016年国家网信办发布了《移动互联网应用程序信息服务管理规定》，明确了用户实名认证的要求；一是按照“后台实名、前台自愿”的原则，对注册用户进行真实身份信息认证；二是建立健全用户信息安全保护机制；三是建立健全信息内容审核管理机制，对发布违法违规信息内容的，视情采取警示、限制功能、暂停更新、关闭账号等处置措施；四是依法保障用户知情权和选择权；五是尊重和保护知识产权，不得制作、发布侵犯他人知识产权的应用程序；六是记录用户日志信息，并保存六十日。..

附上：阿里云最高￥2000云产品通用代金券

对于目前主流的互联网系统实名认证方案有以下三种：

一、身份证实名认证

系统强制用户注册时填写个人的姓名和身份证号码，通调用第三方接口核验身份证号和姓名是否一致。这是一种较为简单的实名认证方式，很多验证是否是未成年人的系统多使用这种方案，因为身份证号码内含有出生日期。

发送数据：                          

bodys.put("idNo", "340421190210182345");  
bodys.put("name", "张三"); 

返回数据：

{  
  "name": "张三",  
  "idNo": "340421190710145412",  
  "respMessage": "身份证信息匹配",  
  "respCode": "0000",  
  "province": "安徽省",  
  "city": "淮南市",  
  "county": "凤台县",  
  "birthday": "19071014",  
  "sex": "M",  
  "age": "111"  
}  

 详情：身份证实名认证接口（阿里云）

 

二、手机号实名认证

当用户在注册时通过短信验证码确认手机号为用户持有后，接下来强制用户填写姓名和身份证号码，然后在后台通过调用第三方接口确认填写的身份证信息是不是该手机号在运营商办理时使用的身份证，以此确认用户信息切实准确。这是一种较准确的实名认证方式，由于办理手机号需要本人持身份证到营业厅办理，能够认证成功表示确系本人操作，也是大多数系统使用的认证方式。

发送数据：

Map<String, String> bodys = new HashMap<String, String>();  
bodys.put("idNo", "350298189012083221");  
bodys.put("name", "张三");  
bodys.put("phoneNo", "13511112222");  

返回数据：

{  
  "name": "张三",  
  "idNo": "359345189012085813",  
  "phoneNo": "13511112222",  
  "respMessage": "身份证信息匹配",  
  "respCode": "0000"  
}  

详情：三网手机号实名认证接口（阿里云）

 

三、银行卡实名认证

对于金融类系统，代收付业务离不开银行卡，对绑卡认证可以较为准确的核验用户信息，并且确保用户将来使用该银行卡无后顾之忧。具体流程为：先使用手机号注册基本信息，在到主界面绑卡，绑卡时填写银行卡号、姓名、身份证号码再加上已经注册了的手机号4个要素发送至第三方接口进行核验，如果验证通过表明该银行卡为用户本人所有，可以用于收付款业务。为避免套现风险一般绑定借记卡。

发送数据：

Map<String, String> bodys = new HashMap<String, String>();  
bodys.put("ReturnBankInfo", "YES");  
bodys.put("cardNo", "62155811111111111");  
bodys.put("idNo", "340421199922225555");  
bodys.put("name", "张三");  
bodys.put("phoneNo", "13522221111");  

返回数据：

 

{  
  "name": "张三",  
  "cardNo": "6225756663322156",  
  "idNo": "34042158962596321",  
  "phoneNo": "13699995555",  
  "respMessage": "结果匹配",  
  "respCode": "0000",  
  "bankName": "招商银行",  
  "bankKind": "招商银行信用卡",  
  "bankType": "信用卡",  
  "bankCode": "CMB"  
}  

详情：银行卡四要素实名认证接口（阿里云）

 

如果用户只有付款需求，绑卡时只验证3要素即可，即：银行卡号、姓名、身份证号码。（银行代付业务一般只需要银行卡号、姓名、身份证号、金额）

发送数据：

 Map<String, String> bodys = new HashMap<String, String>();
bodys.put("cardNo", "62155811111111111");
bodys.put("idNo", "340421199922225555");
bodys.put("name", "张三");

返回数据：

{
  "name": "张三",
  "cardNo": "6215522222222223333",
  "idNo": "3404529999888855551111",
  "respMessage": "信息匹配",
  "respCode": "0000",
  "bankName": "中国工商银行",
  "bankKind": "工商银行",
  "bankType": "借记卡",
  "bankCode": "ICBC"
}

详情：银行卡三要素实名认证接口（阿里云）


 

如果大家在搬砖过程中遇到此类问题可以加博主QQ：1773542055，共同讨论ヾ(◍°∇°◍)ﾉﾞ

 

我的博客即将入驻“云栖社区”，诚邀技术同仁一同入驻。