防盜鏈原理:
http標準協議中有專門的字段記錄referer
一來可以追溯上一個入站地址是什么;
二來對于資源文件,可以跟蹤到包含顯示他的網頁地址是什么。
因此所有防盜鏈方法都是基于這個Referer字段,主要有兩種方法實現:
第一種:使用FilesMatch
ServerAdmin [email protected]
DocumentRoot D:/www/www.chinahtml.com
ServerName www.aaa.com
ServerName aaa.com
盜用連接指定顯示的頁面。也可以不用此項,這樣盜用連接也可無法使用。
ErrorDocument 404 http://www.chinahtml.com/error.html
允許www.aaa.com的網站使用
SetEnvIfNoCase Referer "^http://www.aaa.com" local_ref=1
允許 aaa.com 的網站使用
SetEnvIfNoCase Referer "^http://aaa.com" local_ref=1
定義防盜文件的擴展名
Allow from env=local_ref 允許上面指定域名
防盜鏈設置樣本:使用正則表達式
SetEnvIf Referer "^http://(.)+/.ilinux/.cn/" local_ref=1
SetEnvIf Referer "^http://(.)+/.isql/.cn/" local_ref=1
#SetEnvIf Referer "^http://(.)+/.other/.org/.cn/" local_ref=1
SetEnvIf Request_URI "/logo(.)+" local_ref=0
Order Allow,Deny
Allow from env=local_ref
解釋:
1. 藍色部分,表示設置允許訪問的referer地址,第一行的意思為所有http協議訪問,以.ilinux.cn結尾的域名地址,第二行類似,只是換成 了.isql.cn,表問我前面的鬼符是什么,不懂得可以去翻正則表達式的研究文獻,不想深究的可以照貓畫虎設置自己的網站。
2. 綠色部分,表示不在上述引用域名范圍內,但可以被放行的特例,本例中表示網站/目錄,所有以logo開頭的文件(用作允許其它網站的友情連接引用本站logo)。
3. 橙色部分是設置反盜鏈的關鍵部分,上面每一個設置都聯系到了local_ref這個環境變量,只有這個變量為1,則允許被引用,否則顯示一個X。
4. 紫色部分設置了哪些擴展名的文件加入反盜鏈的規則。
第二種方法:
使用rewirte方式:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://bbs.ilinux.cn/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://bbs.ilinux.cn$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.ilinux.cn/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.ilinux.cn$ [NC]
RewriteCond %{HTTP_REFERER} !^http://ilinux.cn/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://ilinux.cn$ [NC]
RewriteRule .*/.(gif|jpg|jpeg|avi|bmp|ram|rmvb|rm|rar|zip)$ http://www.ilinux.cn [R,NC]
上面的,需要Rewrite模板。所有指定的文件,如果Referer不是上面的值,將被重定向到首頁。
還有使用.htaccess 文件的方法,不過不推薦使用,影響apache性能。
寫一個.htaccess
包含以下代碼:
SetEnvIfNoCase Referer "^http://google/.com/" local_ref=1
Order Allow,Deny
Allow from env=local_ref
Allow from 127.0.0.1
Allow from 123.123.123.123
如果你的網址是www.myst.cn就改為
SetEnvIfNoCase Referer "^http://www/.myst/.com/" local_ref=1
<FilesMatch "/.(jpg|zip|rar)">
ps:最后一個不使用區各線
Allow from 127.0.0.1 這表示允許連結主機的IP。
你要是默認其他網站可以連結的話,就填入該主機IP,把上述的code儲存為.htaccess然后放入你安裝的目錄下即可。
注:*nix系統在apache配置文件里面打開使用.htaccess功能。
下面一一介紹怎么在Apache里面實現防盜鏈、限制客戶端下載線程數,限制下載帶寬這些功能。
防盜鏈
傳統的防盜鏈都是通過Referer來判斷用戶來路的,不過這樣的方法對于下載工具來說形同虛設,因為現在的下載工具早就能偽造Referer了。
現在一些流行的防盜鏈的方式都是用在瀏覽頁面的時候產生一個隨機驗證碼,在用戶點擊連接的時候服務器會驗證這個驗證碼是否有效從而決定是否允許下載。或者就是用某些方法把文件實際地址進行偽裝。不過這些都不怎么好用,下面介紹一個簡單有效的方式來實現防盜鏈。
其實就是用Cookie,配合Apache的URL Rewrite模塊很簡單的就能實現防盜鏈下載。
首先在瀏覽頁面的時候,會向客戶端發送一個特別的Cookie,例如“Site=jzxue.Com“,盜鏈而來的將沒有這個Cookie。
在Apache的httpd.conf文件里面搜索:
#LoadModule rewrite_module modules/mod_rewrite.so
把它前面的#去掉,
再找到
# Other configurati**** …
RewriteEngine On # 啟動URL Rewrite引擎
RewriteCond %{HTTP_COOKIE} !^.*(?:Site=jzxue.Com).*$ # 對于Cookie里面沒有特殊記錄的請求進行重定向
RewriteRule ^.*$ error.html # 將非法訪問重定向到錯誤頁面
這樣如果一個盜鏈而來的請求將會因為沒有特殊Cookie而被重定向到錯誤頁面,就算實際地址暴露也不怕。至于這個Cookie的內容是什么以及有效時間完全可以由管理員自己來設定,也就是說下載工具也沒法偽造,從而防止了服務器資源被盜鏈的危險。
限制客戶端多線程下載
限制多線程現在需要用到一個Apache的擴展模塊mod_limitipconn,這里是作者的官方網站
http://dominia.org/djao/limitipconn2.html,先下載適合自己版本的模塊文件到Apache安裝目錄下的modules目錄下面,然后在httpd.conf文件中搜索:
#LoadModule status_module modules/mod_status.so
把它前面的#去掉,再加入:
ExtendedStatus OnLoadModule limitipconn_module modules/mod_limitipconn.dll # 如果你下載的不是Win版,請把后面的文件名改為你所下載的文件名。
MaxConnPerIP 2 # 這里表示最多同時兩個線程
NoLimit html/* # 這里表示html目錄下不受限制
這樣來自同一客戶端的超過2個的線程請求將被拒絕,從而限制了客戶端的多線程下載。
限制下載帶寬
這個同樣需要擴展模塊支持,模塊是mod_bw,在作者的官方網站http://ivn.cl/apache/可以下載到。同樣也是放入modules目錄下面,然后在httpd.conf文件中加入:
LoadModule bw_module modules/mod_bw.dll
再找到
# Other configurati**** …
BandwidthModule On # 啟動帶寬限制
ForceBandwidthModule On # 啟動帶寬限制
MaxConnection all 2000 # 最大連接數2000
Bandwidth all 200000 # 單個客戶端最大帶寬200KB
這樣限制了同時最多2000個連接數,每個客戶端最大200KB的下載帶寬。
到此,我們的完美限制的HTTP下載服務器就配置完成了,重新啟動你的Apache這些功能便能生效了。
新聞熱點
疑難解答
圖片精選
