IP禁止 - 最有效的方式？

Question

我運行一個大型論壇，並像其他人一樣，與垃圾郵件發送者/機器人有問題。有大量已知的垃圾郵件IP列表，您可以下載並以htaccess格式使用，但我唯一關心的是文件大小。所以我想這個問題是多大太大了，因爲它會爲每個用戶加載。添加所有的IP到它大約100kb。

是否有替代品可以減少開銷？可能用php做，或者由於文件大小和檢查IPS等原因會導致一些重負載？

任何意見將不勝感激。

感謝，

史蒂夫

Answer 1

好吧，你正在建設地址的數據庫，對不對？爲它使用數據庫產品不是有用的嗎？如果你還沒有，SQLite可以完成任務。

Answer 2

有幾個選項：

• 您可以將存儲塊列表到數據庫中。查詢那裏比用PHP中的循環更有效。
• 您可以使用array_map（ip2long（））預處理列表以節省內存並可能查找時間。
• 你可以將IP列表打包成一個正則表達式，也許可以通過優化器（Perl Regexp :: Optimizer）來運行它。 PCRE測試再次比foreach和strpos測試更快。 $regex = implode("|", array_map("preg_quote", file("ip.txt")));

但是，然後，IP塊列表往往不是非常可靠。也許你應該實施其他兩種解決方法：隱藏的表單域來檢測愚蠢的機器人。或者驗證碼來阻止非人類（不是非常方便用戶，但解決了問題）。

Answer 3

也許你想阻止垃圾郵件的好方式 - Captcha？

我相信愛因斯坦曾經說過：問題不能在創建它們:)意識同級解決

Answer 4

除非你已經有問題，你的服務器上的負載，你可能不會注意到，與100K .htaccess文件的區別。 可能有更快的替代方案，可能包括使用iptables或使用排序的ip列表，這些列表可以更快搜索匹配，甚至可以使用數據庫（儘管單個數據庫查詢的開銷可能會壓縮索引的好處表），但它可能不值得的努力，除非你運行高負載的論壇。

您也可以嘗試使用captcha或類似的。這個方向的一切都是在付出代價的，沒有什麼是100％可靠的。

Answer 5

通常比IP禁令更有效的方法。例如，只有表單中的隱藏字段纔會填寫，或者需要JavaScript或Cookie來提交表單。

對於IP禁止，我不會使用.htaccess文件。根據您的網絡服務器，它可能會讀取每個請求的htaccess文件。我肯定會將IP禁令添加到您的Web服務器虛擬主機配置中。這樣我就可以確定網絡服務器將它保存在RAM中，而不是一次又一次地讀取它。

通過PHP來做它也是一個選項。這樣，您也可以輕鬆地將禁令限制爲表單，例如在論壇中註冊。

Answer 6

請勿使用此類IP列表。他們很可能會過時，你可能會阻止錯誤的請求。只要投資於好的或更好的驗證碼，並且只是時時阻止IP，如果他們真的在做某種拒絕服務攻擊。

Answer 7

爲什麼強制Web服務器處理阻止用戶？我建議使用空路由（因爲使用iptables會減慢你的服務器，如果阻塞的IP條目數量增長）。

閱讀上http://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html

http://php.net/manual/en/function.shell-exec.php

Answer 8

在.htaccess在你的DocumentRoot後：

Order Deny,Allow 

附加一行：

Deny from <black ip>