宝塔面板可通过配置站点并发限制防范CC攻击:一、进入目标站点的流量限制页面;二、启用并发限制并设数值50~200及单IP限制10~30;三、调低超时时间为15~30秒;四、在安全模块添加恶意IP至黑名单;五、用curl、ab和netstat验证生效。
如果您在宝塔面板中发现网站遭遇大量异常请求、响应变慢或疑似CC攻击,可能是并发连接数超出服务器承载能力。流量控制模块中的并发限制功能可直接干预请求接入层,抑制恶意高频访问。以下是配置站点并发连接数以防范CC攻击的具体步骤:
一、进入站点流量限制设置页面
该步骤用于定位并启用流量控制功能入口,确保后续参数修改作用于目标站点而非全局或其他服务。只有在具体站点配置中调整的并发限制才具备隔离性和可控性。
1、使用管理员账号登录宝塔面板。
2、点击左侧导航栏的网站,进入站点列表页面。
3、在站点列表中,找到需防护的目标域名,点击其域名(非“设置”按钮)。
4、在弹出的站点配置窗口中,点击左侧导航栏的流量限制,进入流量限制配置页。
二、启用并配置并发限制参数
并发限制通过硬性约束当前站点最大同时处理请求数,使服务器拒绝超出阈值的新连接,从而有效缓解CC攻击导致的资源耗尽。该机制在Nginx/Apache反向代理层生效,不依赖应用逻辑。
1、勾选开启并发限制复选框。
2、在并发限制输入框中填写数值,建议初始值设为50~200(根据服务器CPU核心数与内存动态调整:单核1G内存建议≤80,双核2G建议≤150)。
3、在单IP限制输入框中填写数值,建议设为10~30,防止单一IP发起多线程刷量。
4、确认无误后,点击页面右下角的保存按钮。
三、配合超时时间强化CC防御效果
超时时间参数虽不直接限制连接数,但能缩短恶意连接的驻留周期,加速释放被占用的worker进程,提升并发限制的实际拦截效率。尤其对慢速CC(Slowloris类)攻击具有补充压制作用。
1、在同一流量限制页面,找到超时时间设置项(单位:秒)。
2、将默认值60修改为15~30,降低长连接维持时长。
3、修改后再次点击保存,使新超时策略与并发限制同步生效。
四、启用IP黑名单联动阻断高频来源
仅靠并发限制无法彻底阻止已识别的恶意IP重复试探,需结合IP黑名单实现源头封禁。该方法无需重启服务,规则实时写入Nginx配置并由流量限制模块自动调用。
1、返回宝塔面板首页,点击左侧导航栏的安全。
2、在安全页面中,点击IP黑名单标签页。
3、在输入框中粘贴已确认的恶意IP地址(支持单IP或CIDR格式如192.168.1.0/24),每行一个。
4、点击添加按钮,系统立即生效封禁规则。
五、验证并发限制是否生效
配置完成后需通过真实请求行为验证策略执行状态,避免因配置错误或缓存导致防御失效。验证过程应避开浏览器缓存及CDN代理干扰。
1、在服务器终端执行命令:curl -I http://您的域名/,观察响应头中是否出现X-RateLimit-Limit或Retry-After字段。
2、使用ab(Apache Bench)工具模拟并发请求:ab -n 100 -c 80 http://您的域名/,检查返回状态码是否出现大量503 Service Temporarily Unavailable。
3、登录服务器执行netstat -an | grep :80 | grep ESTABLISHED | wc -l,比对数值是否稳定在设定并发上限附近。
