apache 防盗链的相关应用

防盗链原理:
http标准协议中有专门的字段记录referer
一来可以追溯上一个入站地址是什么
二来对于资源文件,可以跟踪到包含显示他的网页地址是什么。

因此所有防盗链方法都是基于这个Referer字段
众所周知,目前Apache的防盗链莫非就那2种,一是FilesMatch ,二是rewirte。

<strong>第一种:使用FilesMatch</strong>
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot D:/www/mudbest.com
ServerName www.mudbest.com
ServerName mudbest.com
盗用连接指定显示的页面。也可以不用此项,这样盗用连接也可无法使用。注:用其他地址,比如http://bbb.com/error.html
ErrorDocument 404 http://bbb.com/error.html
允许www.aaa.com的网站使用
SetEnvIfNoCase Referer “^http://www.mudbest.com” local_ref=1
允许 aaa.com   的网站使用
SetEnvIfNoCase Referer “^http://mudbest.com” local_ref=1
定义防盗文件的扩展名
<FilesMatch “\.(gif|jpg|png|css|js|swf)”>
Order Allow,Deny
Allow from env=local_ref   允许上面指定域名
</FilesMatch>
</VirtualHost>

 

防盗链设置样本(使用正则表达式):

SetEnvIf Referer “^http://(.)+\.ilinux\.cn/” local_ref=1
SetEnvIf Referer “^http://(.)+\.isql\.cn/” local_ref=1
#SetEnvIf Referer “^http://(.)+\.other\.org\.cn/” local_ref=1
SetEnvIf Request_URI “/logo(.)+” local_ref=0
<FilesMatch “\.(mp3|wmv|png|gif|jpg|jpeg|avi|bmp|ram|rmvb|rm|rar|zip|mp3)”>
Order Allow,Deny
Allow from env=local_ref
</FilesMatch>

解释:
1. 蓝色部分,表示设置允许访问的referer地址,第一行的意思为所有http协议访问,以.ilinux.cn结尾的域名地址,第二行类似,只是换成 了.isql.cn,表问我前面的鬼符是什么,不懂得可以去翻正则表达式的研究文献,不想深究的可以照猫画虎设置自己的网站。
2. 绿色部分,表示不在上述引用域名范围内,但可以被放行的特例,本例中表示网站/目录,所有以logo开头的文件(用作允许其它网站的友情连接引用本站logo)。
3. 橙色部分是设置反盗链的关键部分,上面每一个设置都联系到了local_ref这个环境变量,只有这个变量为1,则允许被引用,否则显示一个X。
4. 紫色部分设置了哪些扩展名的文件加入反盗链的规则。

第二种方法: rewirte

<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot “F:/websites/mudbest/”
ServerName www.mudbest.com
RewriteEngine on
    RewriteCond %{HTTP_REFERER} !^http://www.mudbest.com/.*$ [NC]
    RewriteCond %{HTTP_REFERER} !^http://www.mudbest.com$ [NC]
RewriteRule .*.(jpg|jpeg|gif|png|bmp|rar|zip|pdf|doc|docx|ppt|pptx)$ http://cc.test.com/Public/image/logo1.jpg [R,NC]
ErrorLog “logs/s1.test.com-error.log”
CustomLog “logs/s1.test.com-access.log” common
</VirtualHost>

 

解释:

蓝色部分 白名单,也就是被允许的域名
绿色部分 防盗链的规则
橙色部分 跳转页面

 

传统的防盗链都是通过Referer来判断用户来路的,不过这样的方法对于下载工具来说形同虚设,因为现在的下载工具早就能伪造Referer了。
现在一些流行的防盗链的方式都是用在浏览页面的时候产生一个随机验证码,在用户点击连接的时候服务器会验证这个验证码是否有效从而决定是否允许下载。或者就是用某些方法把文件实际地址进行伪装。不过我觉得这些都不怎么好用,我用了一个简单有效的方式来实现防盗链。
其实就是用Cookie,配合Apache的URL Rewrite模块很简单的就能实现防盗链下载。
首先在浏览页面的时候,会向客户端发送一个特别的Cookie,例如“Site=mudbest.Com“,盗链而来的将没有这个Cookie。

在Apache的httpd.conf文件里面搜索:
#LoadModule rewrite_module modules/mod_rewrite.so
把它前面的#去掉,再找到<Directory />块,在里面加入类似如下代码:

<Directory />
# Other configurations …
RewriteEngine On # 启动URL Rewrite引擎
RewriteCond %{HTTP_COOKIE} !^.*(?:Site=mudbest.Com).*$ # 对于Cookie里面没有特殊记录的请求进行重定向
RewriteRule ^.*$ error.html # 将非法访问重定向到错误页面
</Directory>

这样如果一个盗链而来的请求将会因为没有特殊Cookie而被重定向到错误页面,就算实际地址暴露也不怕。至于这个Cookie的内容是什么以及有效时间完全可以由管理员自己来设定,也就是说下载工具也没法伪造,从而防止了服务器资源被盗链的危险。

 

线程控制

另外附属下线程限制方法,如果想防止暴力可尝试应用。

限制多线程现在需要用到一个Apache的扩展模块mod_limitipconn。
这里是作者的官方网站。  http://dominia.org/djao/limitipconn2.html
先下载适合自己版本的模块文件到Apache安装目录下的modules目录下面,然后在httpd.conf文件中搜索:

#LoadModule status_module modules/mod_status.so

把它前面的#去掉,再加入:

ExtendedStatus On
LoadModule limitipconn_module modules/mod_limitipconn.dll # 如果你下载的不是Win版,请把后面的文件名改为你所下载的文件名
<IfModule mod_limitipconn.c>
<Location /> # 这里表示限制根目录,即全部限制,可以根据需要修改
MaxConnPerIP 2 # 这里表示最多同时两个线程
NoLimit html/* # 这里表示html目录下不受限制
</Location>
</IfModule>
这样来自同一客户端的超过2个的线程请求将被拒绝,从而限制了客户端的多线程下载。

 

带宽控制
限制下载带宽
这个同样需要扩展模块支持,模块是mod_bw,在作者的官方网站

http://ivn.cl/apache/

可以下载到。同样也是放入modules目录下面,然后在httpd.conf文件中加入:

LoadModule bw_module modules/mod_bw.dll
再找到<Directory />块,加入:

<Directory />
# Other configurations …
BandwidthModule On # 启动带宽限制
ForceBandwidthModule On # 启动带宽限制
MaxConnection all 2000 # 最大连接数2000
Bandwidth all 200000 # 单个客户端最大带宽200KB
</Directory>

这样限制了同时最多2000个连接数,每个客户端最大200KB的下载带宽。

到这里就差不多介绍完了关于Apache下面的多种控制的一些应用方法,根据自己的需求方便的控制,方便的应用。

Leave a Reply

(will not be published)