防DDoS/CC攻击之OpenLitespeed的reCAPTCHA设置图文教程

做WordPress站长的，谁没经历过几个心跳骤停的瞬间？前两天正准备更新内容，主题铺突然发现无法连接服务器，好不容易连上主机，发现CPU占用率一直是100%，内存直接拉满，网站前端转圈转到天荒地老。打开后台日志一看，好家伙，密密麻麻的陌生IP在疯狂请求各类页面，典型的CC攻击（Challenge Collapsar）。如下图：

这种时候，单纯在防火墙里封IP已经不管用了，因为对方用的是庞大的僵尸网络，封了一个IP，还有成千上万个肉鸡等着你。很多人第一反应是去买昂贵的高防CDN或者硬防，其实吧，主题铺也不是什么WordPress大站点，哪里舍得买这些，于是找找有没有免费方案，其实远在天边近在眼前。如果你用的也是OpenLitespeed（OLS）服务器，它自带的一把“尚方宝剑”常常被忽略。这就是OLS内置的reCAPTCHA防护功能。

这次也就是靠着它，没花一分钱，十分钟内就把服务器负载降回了正常水平。它的原理不是硬抗，而是“智取”，通过验证机制把机器流量和人类流量彻底分开。

当然，再配合之前主题铺分享的5秒盾的设置，防护妥妥的。

WordPress安全防爬虫恶意扫描教程 为高负载参数添加“5秒盾”

3个月前

07113

一、什么是OpenLitespeed的reCAPTCHA？

简单说，这就是个驻守在你Web服务器门口的“智能门神”。在正常情况下，它处于休眠状态，用户访问网站感觉不到它的存在，体验非常丝滑。

一旦服务器检测到并发连接数或者每秒请求数超过了你设定的安全阈值（比如某个IP一秒钟请求了50次），这个门神就会立马醒过来。它会拦截所有的可疑请求，强制弹出一个验证码页面。

对于正常人类用户来说，点一下验证码或者选几张图片就能继续访问，系统会自动把这个访客标记为“好人”（Trusted），并颁发一个临时的通行证（Cookie），后续访问就不拦了。但对于那些只会机械发包的攻击脚本和僵尸网络，它们通常不具备运行JavaScript或识别图形的能力，过不了验证码这一关，请求就会被直接挡在Web服务器层面。

OpenLiteSpeed将reCAPTCHA作为防御 DDoS 攻击的一种方法。当访客访问网站时，他们需要通过 reCAPTCHA 验证。通过 reCAPTCHA 验证后，只要访客继续浏览网站，就会被临时允许访问。一旦访客变得不活跃，reCAPTCHA 将在该访客的下一个请求中再次启用。

如果用户几次未能通过 reCAPTCHA 验证，服务器将返回 403 错误，然后断开该 IP 的连接。

这样做最大的好处是，垃圾流量根本不会打到你的PHP解析器和MySQL数据库上，极大地保护了服务器最脆弱的后端资源。

二、开启reCAPTCHA和配置指南（hCaptcha版）

OpenLitespeed默认支持Google的reCAPTCHA，但大家懂的，谷歌的服务在国内网络环境下经常加载不出来，或者加载极慢。到时候攻击是防住了，正常用户也被挡在门外加载不出验证码，这就得不偿失了。

主题铺强烈建议大家使用hCaptcha。它的验证体验对国内用户相对友好，加载速度也还凑合，关键是隐私保护做得更好，且配置逻辑与谷歌那套基本一致。

1、什么是hCaptcha？

hCaptcha 是一种人类验证服务，类似于 Google reCAPTCHA。它旨在识别并区分人类用户和机器人，并帮助防止常见的 Web 自动化攻击，如DDoS、恶意机器人攻击和无节制的 Web 爬取。

并且其免费套餐完全够用了，刚开始使用可以使用Pro版，每月最多100,000个免费请求，两周后自动降级到免费版，不过主要是拿来防护的，不重要。

2、申请hCaptcha密钥

首先，咱们得去hCaptcha官网搞个“通行证”。

• 访问hCaptcha官网，点击注册（Sign Up）。然后选择免费套餐，注册过程很简单，填个邮箱验证一下就行，如果你有GitHub或者Google账号也能直接登录。
• 进去后，点击右上角的 New Site 按钮添加你的网站。
• 在“Add New Site”页面，填入你的网站域名（Hostname）。
• 添加完成后，你会进入设置详情页。这里有两个非常关键的字符串：Site Key（站点密钥，公开的）和 Secret Key（私有密钥，保密的）。
• 务必把这两串字符复制下来存好，待会儿要用到OLS的配置里。

3、在OpenLitespeed中配置验证模块

登录你的OLS WebAdmin控制台（通常是IP:7080），找到 Server Configuration（服务器配置） -> Security（安全）。

往下翻，找到 reCAPTCHA Protection 这一栏，点击右上角的编辑按钮。这里有几个核心参数要填，看仔细了：

• 启用reCAPTCHA：选择 是，把开关打开。
• reCAPTCHA 类型：这里一定要选 hCaptcha。如果你选了默认的reCAPTCHA，刚才申请的key是没法用的。毕竟谷歌的验证码在国内的使用不是很友好。
• Site Key：填入你刚才申请的hCaptcha站点密钥。
• Secret Key：填入刚才申请的私钥。
• 最大尝试次数：建议填写 3。毕竟错的次数事不过三嘛，连续3次都错那就有问题了。
• 机器人白名单：可以填谷歌、必应、百度的搜索爬虫是直接通过，当然也可以自己根据自己的要求添加，比如字节跳动、360的之类的。
• 连接限制：推荐 15 – 20
  解释：这是触发验证码的阈值。如果单 IP 并发连接超过 20，OLS 认为它是攻击者，强制弹验证码。正常用户打开网页一般只有 5-10 个并发连接，不会触发。

4、设置触发阈值（最关键的一步）

光开启验证功能没用，还得告诉服务器“什么时候”启动防御。这就涉及到 Per Client Throttling（单客户端限制）设置。很多新手配置完不生效，就是因为这一步没设好。

在同一个 安全 页面，往上翻找到 Per Client Throttling 区域，点击编辑：

• Static Requests/second：静态资源每秒请求限制。比如设为 50。图片、CSS这种资源请求快点没关系。
• Dynamic Requests/second：动态资源每秒请求限制。这个要严一点，比如设为 5。PHP页面很耗资源，不能让它刷太快。如果要求更严格，那就设为3。
• Connection Soft Limit：软限制。这是触发验证码的关键。比如设置为 10。意思是当某个IP的并发连接数达到10时，服务器不再直接响应内容，而是给他弹hCaptcha验证码。
• Connection Hard Limit：硬限制。比如设置为 20。如果某个IP并发连接数疯涨到20，说明这货大概率连验证码都不看，直接拒绝连接，连验证码页面都不给了。
• Block Bad Request：选 是。

设置完这些，别忘了点击右上角的 Graceful Restart（平滑重启）重启LSWS服务，让配置生效。

三、防护效果

配置生效后，其实你可以自己测试一下效果。找一台没有登录过网站的电脑，或者用压测工具稍微模拟一下高并发请求。

你会发现，当并发连接一上来，或者刷新速度过快，浏览器瞬间就会跳转到一个带有hCaptcha验证码的拦截页面。页面上会提示“请完成验证以继续访问”。

此时查看服务器的实时监控（Real-time Stats），你会看到原本飙红的CPU曲线会呈断崖式下跌。因为绝大多数CC攻击脚本是不具备处理JavaScript执行环境和点击图形验证码能力的，它们只能傻傻地接收403错误或者被断开连接。

你的MySQL数据库此时正在悠闲地喝茶，完全不受影响。据主题铺观察，开启这个功能后，对于中小型规模的HTTP Flood攻击，防御成功率几乎能达到99%。正常用户虽然在极端的网络环境下可能多了一步验证，但总比网站彻底打不开要强得多。同时也能在服务器的错误日志里查看相应的拦截日志，如下，都被验证码拦截断开了。

四、最后总结

网络安全这事儿，没有绝对的一劳永逸，但利用好手头的工具是每个站长的必修课。OpenLitespeed自带的这个reCAPTCHA/hCaptcha模块，胜在原生集成、性能损耗极低（C++层面处理），而且完全免费。

相比于在WordPress里装各种臃肿的防火墙插件，这种服务器层面的防御显然更高效、更彻底。

如果你的网站偶尔会遭遇莫名其妙的流量攻击，或者被人恶意刷接口，不妨按照上面的教程把hCaptcha部署起来。主题铺认为，这一道简单的防线，往往能帮你省下昂贵的硬防费用，还能在攻击来临时，让你从容地睡个安稳觉。