先大概说说简单的结构前端一个Nginx反向代理，后端一个Nginx instance app for PHP实际上就是个Discuz，之前面对CC攻击都是预警脚本或者走CDN，但是这次攻击者不再打流量，而是针对数据库请求页面进行攻击，如search操作帖子ID F5等..从日志分析来看是从3个URL着手攻击的，当时使用Nginx 匹配$query_string 来return 503不过会导致页面不能访问，所以想到这么一个折中的办法。

　　##通过分析，在后端发现其代理访问过来的数据都是两个IP的，默认情况下直接访问获取真实IP，其IP只有一个，而通过手机 3G\4G上网则是2个IP，不过有匿名IP的话，到服务器则只有一个IP浙江ip代理服务器软件，这种就不太好判断了...