apache 防盜鏈,限帶寬和連接數

2024-08-27 18:25:44

字體：大中小

來源：轉載

供稿：網友

防盜鏈原理：

http標準協議中有專門的字段記錄referer

一來可以追溯上一個入站地址是什么

二來對于資源文件，可以跟蹤到包含顯示他的網頁地址是什么。

因此所有防盜鏈方法都是基于這個Referer字段

主要有兩種方法實現

第一種：使用FilesMatch

<VirtualHost *:80>
     ServerAdmin laogui@gmail.com
     DocumentRoot D:/www/www.chinahtml.com
     ServerName www.aaa.com

ServerName aaa.com

盜用連接指定顯示的頁面。也可以不用此項，這樣盜用連接也可無法使用。
ErrorDocument 404 http://www.chinahtml.com/error.html

允許www.aaa.com的網站使用
SetEnvIfNoCase Referer "^http://www.aaa.com" local_ref=1

允許 aaa.com 的網站使用
SetEnvIfNoCase Referer "^http://aaa.com" local_ref=1

     定義防盜文件的擴展名
       <FilesMatch "/.(gif|jpg|png|css|js|swf)">
         Order Allow,Deny
         Allow from env=local_ref   允許上面指定域名
     </FilesMatch>
</VirtualHost>

防盜鏈設置樣本：使用正則表達式

SetEnvIf Referer "^http://(.)+/.ilinux/.cn/" local_ref=1
SetEnvIf Referer "^http://(.)+/.isql/.cn/" local_ref=1
#SetEnvIf Referer "^http://(.)+/.other/.org/.cn/" local_ref=1
SetEnvIf Request_URI "/logo(.)+" local_ref=0
<FilesMatch "/.(mp3|wmv|png|gif|jpg|jpeg|avi|bmp|ram|rmvb|rm|rar|zip|mp3)">
Order Allow,Deny
Allow from env=local_ref
</FilesMatch>

解釋：
1. 藍色部分，表示設置允許訪問的referer地址，第一行的意思為所有http協議訪問，以.ilinux.cn結尾的域名地址，第二行類似，只是換成了.isql.cn，表問我前面的鬼符是什么，不懂得可以去翻正則表達式的研究文獻，不想深究的可以照貓畫虎設置自己的網站。
2. 綠色部分，表示不在上述引用域名范圍內，但可以被放行的特例，本例中表示網站/目錄，所有以logo開頭的文件(用作允許其它網站的友情連接引用本站logo)。
3. 橙色部分是設置反盜鏈的關鍵部分，上面每一個設置都聯系到了local_ref這個環境變量，只有這個變量為1，則允許被引用，否則顯示一個X。
4. 紫色部分設置了哪些擴展名的文件加入反盜鏈的規則。
第二種方法：
使用rewirte方式：
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://bbs.ilinux.cn/.*$     [NC]
RewriteCond %{HTTP_REFERER} !^http://bbs.ilinux.cn$       [NC]
RewriteCond %{HTTP_REFERER} !^http://www.ilinux.cn/.*$       [NC]
RewriteCond %{HTTP_REFERER} !^http://www.ilinux.cn$       [NC]
RewriteCond %{HTTP_REFERER} !^http://ilinux.cn/.*$       [NC]
RewriteCond %{HTTP_REFERER} !^http://ilinux.cn$       [NC]
RewriteRule .*/.(gif|jpg|jpeg|avi|bmp|ram|rmvb|rm|rar|zip)$ http://www.ilinux.cn [R,NC]
上面的，需要Rewrite模板．所有指定的文件，如果Referer不是上面的值，將被重定向到首頁．

還有使用.htaccess 文件的方法，不過不推薦使用，影響apache性能。

寫一個.htaccess
包括以下代碼：

SetEnvIfNoCase Referer "^http://google/.com/" local_ref=1
<FilesMatch "/.(jpg)">
Order Allow,Deny
Allow from env=local_ref
Allow from 127.0.0.1
Allow from 123.123.123.123
</FilesMatch>

如果你的網址是www.myst.cn就改為
SetEnvIfNoCase Referer "^http://www/.myst/.com/" local_ref=1
<FilesMatch "/.(jpg)">
這意思是說防止人家連結你的jpg檔案.可以增修為
<FilesMatch "/.(jpg|zip|rar)">
ps.最后一個不使用區各線
Allow from 127.0.0.1
這表示允許連結主機的IP。
你要是默認其他網站可以連結的話，就填入該主機IP，把上述的code儲存為.htaccess然后放入你安裝的目錄下即可。

*nix系統在apache配置文件里面打開使用.htaccess功能。

AllowOverride All

-----------------------------------------------------------------------------------------------------------------------------------------------------------

話說現在建站真不容易，想好好搞一個站，總會被人WC的采集，盜鏈，攻擊，無人值守的垃圾站比苦心經營的站收入還要可觀。所以保衛好自己的服務器是一件很重要的工作。
小站雷當（mb5u.Com）剛剛上線，立馬受到很多朋友的支持和擁護。一開始本來準備選擇使用FTP作為下載服務器的，不過過了幾天就發現很多都是通過盜鏈的方式來FTP下載。這下服務器在持續性全速提供上傳，但是網站的頁面瀏覽量卻少得可憐。因為FTP天生不能放盜鏈的特性所以只能考慮放棄使用，最后決定用HTTP下載來替代。

直接用HTTP服務器下載也不是很容易的事。最開始在IIS里面配置，IIS只能設定最大下載速度和最大連接數，這對于一些使用下載工具一來就開 50+線程霸道下載的朋友明顯是防不住的。網上搜了N久就發現一個用Delphi寫的看不懂的ISAPI Filter以及別的收費軟件若干。試過之后都起不了作用，也便放棄了，最后發現Apache有這些開源的功能模塊，最終打造出完美限制的HTTP下載服務器。

首先說說完美限制的意思：防盜鏈、限制客戶端下載線程數，限制下載帶寬。下面一一介紹怎么在Apache里面實現這些功能。

防盜鏈

傳統的防盜鏈都是通過Referer來判斷用戶來路的，不過這樣的方法對于下載工具來說形同虛設，因為現在的下載工具早就能偽造Referer了。

現在一些流行的防盜鏈的方式都是用在瀏覽頁面的時候產生一個隨機驗證碼，在用戶點擊連接的時候服務器會驗證這個驗證碼是否有效從而決定是否允許下載?；蛘呔褪怯媚承┓椒ò盐募嶋H地址進行偽裝。不過我覺得這些都不怎么好用，我用了一個簡單有效的方式來實現防盜鏈。

其實就是用Cookie，配合Apache的URL Rewrite模塊很簡單的就能實現防盜鏈下載。

首先在瀏覽頁面的時候，會向客戶端發送一個特別的Cookie，例如“Site=mb5u.Com“，盜鏈而來的將沒有這個Cookie。

在Apache的httpd.conf文件里面搜索：

#LoadModule rewrite_module modules/mod_rewrite.so

把它前面的#去掉，再找到<Directory />塊，在里面加入類似如下代碼：

<Directory />
     # Other configurations …
    RewriteEngine On # 啟動URL Rewrite引擎
   RewriteCond %{HTTP_COOKIE} !^.*(?:Site=mb5u.Com).*$ # 對于Cookie里面沒有特殊記錄的請求進行重定向
   RewriteRule ^.*$ error.html # 將非法訪問重定向到錯誤頁面
</Directory>

這樣如果一個盜鏈而來的請求將會因為沒有特殊Cookie而被重定向到錯誤頁面，就算實際地址暴露也不怕。至于這個Cookie的內容是什么以及有效時間完全可以由管理員自己來設定，也就是說下載工具也沒法偽造，從而防止了服務器資源被盜鏈的危險。

限制客戶端多線程下載

限制多線程現在需要用到一個Apache的擴展模塊mod_limitipconn，這里是作者的官方網站http://dominia.org/djao/limitipconn2.html，先下載適合自己版本的模塊文件到Apache安裝目錄下的modules目錄下面，然后在httpd.conf文件中搜索：

#LoadModule status_module modules/mod_status.so

把它前面的#去掉，再加入：

ExtendedStatus On
LoadModule limitipconn_module modules/mod_limitipconn.dll # 如果你下載的不是Win版，請把后面的文件名改為你所下載的文件名
<IfModule mod_limitipconn.c>
   <Location /> # 這里表示限制根目錄，即全部限制，可以根據需要修改
   MaxConnPerIP 2 # 這里表示最多同時兩個線程
   NoLimit html/* # 這里表示html目錄下不受限制
   </Location>
</IfModule>

這樣來自同一客戶端的超過2個的線程請求將被拒絕，從而限制了客戶端的多線程下載。

限制下載帶寬

這個同樣需要擴展模塊支持，模塊是mod_bw，在作者的官方網站http://ivn.cl/apache/可以下載到。同樣也是放入modules目錄下面，然后在httpd.conf文件中加入：

LoadModule bw_module modules/mod_bw.dll

再找到<Directory />塊，加入：

<Directory />
   # Other configurations …
   BandwidthModule On # 啟動帶寬限制
    ForceBandwidthModule On # 啟動帶寬限制
     MaxConnection all 2000 # 最大連接數2000
   Bandwidth all 200000 # 單個客戶端最大帶寬200KB
</Directory>

這樣限制了同時最多2000個連接數，每個客戶端最大200KB的下載帶寬。

到此，我們的完美限制的HTTP下載服務器就配置完成了，重新啟動你的Apache這些功能便能生效了。因為Apache和這些模塊都是開源免費的，我們不需要為此掏一分錢，不用去購買那些第三方的軟件，只是需要多去了解一下這些軟件的使用說明。不要一切都祈禱有現成美好的東西，自己動手做一次會有不一樣的收獲

上一篇：PHP5.3.1安裝教程[基于Windows下Apache]

下一篇：Apache服務器限制并發連接和下載速度