由于网站还提供在线音乐，怀疑是由于百度和迅雷的盗链影响，d4e上很多人都在反应迅雷对他们站点的影响很恶劣。 在Apache中启用防盗链（需要mod_rewrite支持 )
附上.htaccess配置文件

RewriteEngine  On
RewriteCond %{HTTP_HOST} !([a-zA-Z]*.)?sends.cc$ [NC] [OR]
RewriteCond %{HTTP_REFERER} !^http://([a-zA-Z]*.)?sends.cc/.*$ [NC]
RewriteRule .(mp3|wav|flv|gif|jpg|wma)$ – [F]
如上配置，在一定程度上缓解了服务器压力。Apache此时差不多可以顶1400个连接数，由此也引来一个问题，Apache子进程大量派生，Load average经常都上100（2×2核心，单个CPU此时的load大约在25左右（危急状态）。 Apache默认MaxRequestsPerChild为0，子进程在完成所有请求仍然不会退出，处于等候状态。在Apache2.conf中将其修改为适当的数字，我将其改成10000，子进程在处理完10000个Web请求之后自动退出，不再占用系统资源。
对访问优化
因为页面中含有大量图片和音视频的多媒体文件，所以可以使用高速Web缓存在解决访问速度问题。Apache有自带的缓存代理模块，不过效率不高，实际生产中却是很少用。我使用的是开源软件中享有盛名的Squid，该软件既有代理和缓存的双重功能，这里我们只用其缓存功能。
注：关于代理以及Squid的基本原理，http://home.arcor.de/jeffpang/squid/上有详细的解释，这里不再累述。
迄今，Squid的稳定版是squid-2.6.STABLE17，网上有各种归档文件，rpm和deb安装包都有，这里推荐源码包安装squid-2.6.STABLE17.tar.gz ，理由是可定制强，在实际应用中才能发挥最大功效。

configure很重要，这里提供我使用的参数给大家参考：
‘–with-maxfd=65535′ ‘–prefix=/usr/local/squid/’ ‘–disable-internal-dns’ ‘–enable-async-io’
–disable-internal-dns
squid源代码包含两个不同的DNS解决方案，叫做“内部的”和“外部的”。内部查询是默认的，但某些人可能要使用外部技术。该选项禁止内部功能，转向使用旧的方式。

内部查询使用 squid自己的DNS协议执行工具。也就是说，squid产生未完成的DNS查询并且将它们发送到一个解析器。假如超时，它重新发送请求，你能指定任意数量的解析器。该工具的有利处之一是，squid获得准确无误的DNS响应的TTLs。

外部查询利用C库的gethostbyname()和gethostbyaddr()函数。squid使用一个外部进程池来制造并行查询。使用外部DNS解析的主要弊端是你需要更多的辅助进程，增加squid的负载。另一个麻烦是C库函数不在响应里传输TTLs，这样squid使用postive_dns_ttl指令提供的一个常量值。

请注意–enable-async-io是打开其他三个./configure选项的快捷方式，它等同于：
–with-aufs-threads=N_THREADS

–with-pthreads

–enable-storeio=ufs,aufs

–with-pthreads
该选项导致编译过程链接到你系统中的P线程库。aufs存储模块是squid中唯一需要使用线程的部分。通常来说，如果你使用–enable-saync-io选项，那么不必再单独指定该选项，因为它被自动激活了。#Very Important,事实证明该参数对Squid的效率有强悍的催化作用。异步I/O是squid技术之一，用以提升存储性能。aufs模块使用大量的线程来执行磁盘I/O操作。该代码仅仅工作在linux和solaris系统中。=N_THREADS参数改变squid使用的线程数量。
make；make clean；make install
无误的话，就可以正常启动Squid了
squid -z #创建缓存区域
squid start（如果没在/usr/bin里建立squid的软链接用/usr/local/squid/sbin/squid start启动）
附上我的配置文件（squid.conf）
visible_hostname a.server
#—-端口设置—-
http_port 192.168.0.1:80 vhost vport
#xx.xx.xx.xx为这台服务器的IP地址
icp_port 0

#—-缓存设置—-
cache_mem 2000 MB
#设置Squid所能使用的内存共2000MB，这个值因人而异
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
#最大缓存文件大小，超过这个值则不缓存，最好不要过大，10MB以内比较合适，过大严重影响性能
maximum_object_size_in_memory 4096 KB
cache_dir aufs /raid/cache_web 100000 16 256
#磁盘缓存的类型和目录，大小，一二级目录的设置，这里磁盘缓存大小是20G

#—-日志设置—-
cache_store_log none
#这个设置是不记录store.log
emulate_httpd_log on
#打开emulate_httpd_log选项,将使Squid仿照Aapche的日志格式
pid_filename /var/log/squid/squid.pid
cache_log /var/log/squid/cache.log
access_log /var/log/squid/access.log

#—-反向代理-完成高速WEB缓存功能
cache_peer 192.168.0.1 parent 8080 0 no-query originserver
cache_peer_domain 192.168.0.1 a.test.cc
acl QUERY urlpath_regex .wmv .mp3 .flv
cache deny QUERY

#—-访问控制列表—-
acl all src 0.0.0.0/0.0.0.0
#acl dst dstdomain .sends.cc
#acl dst_other dst 0.0.0.0/0.0.0.0
http_access allow all
#http_access allow dst
#http_access deny dst_other
#—-启动用户组
cache_effective_user proxy
cache_effective_group proxy

对用户访问进行限速（适用于低带宽或者容易堵塞的网络环境）
Apache的mod_bw提供了该功能，详细配置相对容易找到，请参看相关文档。
下载最新版本
root# wget http://bwmod.sourceforge.net/files/mod_bw-0.7.tgz

解压
root# wget http://bwmod.sourceforge.net/files/mod_bw-0.7.tgz
root# tar -vfxz mod_bw-0.7.tgz
root# cd mod_bw-0.7

修改mod_bw 0.7的bug：
由於mod_bw 0.7在编译时bug，会导致在安装后出现apr_atomic_add找不到的错误，所以要修改mod_bw.c
将原本的：
/* Compatibility for ARP < 1 */
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif

改成：
/* Compatibility for ARP < 1 */
/*
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif
*/

更新Debian软件包：
root# apt-get update

安装apxs2：
root# apt-get install apache2-prefork-dev

安装gcc：
root# apt-get install gcc

执行模组安装：
root# apxs2 -i -a -c mod_bw.c

这时就会安装到你的Apache的模组里，并且http.conf也已经自动加上了：
LoadModule bw_module modules/mod_bw.so

建立mod_bandwidth工作目录
root# mkdir -p /tmp/apachebw/link
root# mkdir -p /tmp/apachebw/master
root# chown -R nobody:nobody /tmp/apachebw
root# chmod -R 755 /tmp/apachebw

配置：

Options Includes FollowSymLinks MultiViews
AllowOverride None
order allow,deny
allow from all

# Limit BW usage
BandWidthModule On
ForceBandWidthModule On
#開放20KB对外使用
BandWidth all 51200
#每Connection最小带宽为50K
MinBandwidth all 51200
#大于50M的文件传输速率按50Kbytes/sec
#LargeFileLimit 51200 51200
#最大同时连接数量
#MaxConnection 300
把Apache服务器重新启动就可以实现对带宽的限制了。
———————————————————————————————————————-
apxs工具安装
编译mod_encoding时，必须要有apxs，httpd-devel中包括创建和安装扩展模块的apxs工具。如果是你安装了Apache，检查${APACHE_HOME}/bin/下是否存在apxs，如果存在则略过该步无需自己安装该程序包，如果尚未安装e则需要自己手动安装httpd-devel
友情提示
为防止站点资源被百度或者迅雷盗链，尽可能将你们的资源重新编码或者打包，有办法的话，还可以经常改变下载地址。
另外如果你怀疑有Dos攻击的话，可以运行
netstat -an | grep -i “服务器ip地址:80″ | awk ‘{print $6}’ | sort | uniq -c | sort -n
这个命令会自动统计Tcp连接各个状态的数量，如果SYN_RECV很高的话，就不能排除有基于tcp协议的ddos攻击的可能
这样的话，你需要打开tcp_syncookies
echo 1 >; /proc/sys/net/ipv4/tcp_syncookies
如果没有 /proc/sys/net/ipv4/tcp_syncookies说明你的内核不支持syncookies，需要重新编译内核
同时降低syn重试次数
echo “1″ >; /proc/sys/net/ipv4/tcp_syn_retries
echo “1″ >; /proc/sys/net/ipv4/tcp_synack_retries
加大syn_backlog，以保证用户的访问（消耗内存为代价，设的太高。。）
echo “2048″ >; /proc/sys/net/ipv4/tcp_max_syn_backlog
如果还是不行，那么只能交给相应的硬件防火墙了

注：此配置目前可以撑到3000个同时在线连接。

    在实际环境中，元素丰富的页面产生的服务器负担不能小觑。几个月前配置的Apache最近终于撑不住了，在连接数达到1000的时候，页面访问已经相当迟缓，到了非优化不可的地步。

    由于网站还提供在线音乐，怀疑是由于百度和迅雷的盗链影响，d4e上很多人都在反应迅雷对他们站点的影响很恶劣。

• 在Apache中启用防盗链（需要mod_rewrite支持 )

附上.htaccess配置文件

RewriteEngine  On
RewriteCond %{HTTP_HOST} !([a-zA-Z]*.)?sends.cc$ [NC] [OR]
RewriteCond %{HTTP_REFERER} !^http://([a-zA-Z]*.)?sends.cc/.*$ [NC]
RewriteRule .(mp3|wav|flv|gif|jpg|wma)$ – [F]

    如上配置，在一定程度上缓解了服务器压力。Apache此时差不多可以顶1400个连接数，由此也引来一个问题，Apache子进程大量派生，Load average经常都上100（2×2核心，单个CPU此时的load大约在25左右（危急状态）。 Apache默认MaxRequestsPerChild为0，子进程在完成所有请求仍然不会退出，处于等候状态。在Apache2.conf中将其修改为适当的数字，我将其改成10000，子进程在处理完10000个Web请求之后自动退出，不再占用系统资源。

• 对访问优化

     因为页面中含有大量图片和音视频的多媒体文件，所以可以使用高速Web缓存在解决访问速度问题。Apache有自带的缓存代理模块，不过效率不高，实际生产中却是很少用。我使用的是开源软件中享有盛名的Squid，该软件既有代理和缓存的双重功能，这里我们只用其缓存功能。

     注：关于代理以及Squid的基本原理，http://home.arcor.de/jeffpang/squid/上有详细的解释，这里不再累述。

     迄今，Squid的稳定版是squid-2.6.STABLE17，网上有各种归档文件，rpm和deb安装包都有，这里推荐源码包安装squid-2.6.STABLE17.tar.gz ，理由是可定制强，在实际应用中才能发挥最大功效。

configure很重要，这里提供我使用的参数给大家参考：

‘–with-maxfd=65535′ ‘–prefix=/usr/local/squid/’ ‘–disable-internal-dns’ ‘–enable-async-io’

–disable-internal-dns

squid源代码包含两个不同的DNS解决方案，叫做“内部的”和“外部的”。内部查询是默认的，但某些人可能要使用外部技术。该选项禁止内部功能，转向使用旧的方式。

内部查询使用 squid自己的DNS协议执行工具。也就是说，squid产生未完成的DNS查询并且将它们发送到一个解析器。假如超时，它重新发送请求，你能指定任意数量的解析器。该工具的有利处之一是，squid获得准确无误的DNS响应的TTLs。

外部查询利用C库的gethostbyname()和gethostbyaddr()函数。squid使用一个外部进程池来制造并行查询。使用外部DNS解析的主要弊端是你需要更多的辅助进程，增加squid的负载。另一个麻烦是C库函数不在响应里传输TTLs，这样squid使用postive_dns_ttl指令提供的一个常量值。

请注意–enable-async-io是打开其他三个./configure选项的快捷方式，它等同于：

–with-aufs-threads=N_THREADS
–with-pthreads
–enable-storeio=ufs,aufs
–with-pthreads

该选项导致编译过程链接到你系统中的P线程库。aufs存储模块是squid中唯一需要使用线程的部分。通常来说，如果你使用–enable-saync-io选项，那么不必再单独指定该选项，因为它被自动激活了。#Very Important,事实证明该参数对Squid的效率有强悍的催化作用。异步I/O是squid技术之一，用以提升存储性能。aufs模块使用大量的线程来执行磁盘I/O操作。该代码仅仅工作在linux和solaris系统中。=N_THREADS参数改变squid使用的线程数量。

     make；make clean；make install

     无误的话，就可以正常启动Squid了

     squid -z #创建缓存区域

     squid start（如果没在/usr/bin里建立squid的软链接，就使用/usr/local/squid/sbin/squid start启动）

附上我的配置文件

visible_hostname a.server
#—-端口设置—-
http_port 192.168.0.1:80 vhost vport
#xx.xx.xx.xx为这台服务器的IP地址
icp_port 0

#—-缓存设置—-
cache_mem 2000 MB
#设置Squid所能使用的内存共2000MB，这个值因人而异
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB

#最大缓存文件大小，超过这个值则不缓存，最好不要过大，10MB以内比较合适，过大严重影响性能
maximum_object_size_in_memory 4096 KB
cache_dir aufs /raid/cache_web 100000 16 256
#磁盘缓存的类型和目录，大小，一二级目录的设置，这里磁盘缓存大小是20G

#—-日志设置—-
cache_store_log none
#这个设置是不记录store.log
emulate_httpd_log on
#打开emulate_httpd_log选项,将使Squid仿照Aapche的日志格式
pid_filename /var/log/squid/squid.pid
cache_log /var/log/squid/cache.log
access_log /var/log/squid/access.log

#—-反向代理-完成高速WEB缓存功能
cache_peer 192.168.0.1 parent 8080 0 no-query originserver
cache_peer_domain 192.168.0.1 a.test.cc
acl QUERY urlpath_regex .wmv .mp3 .flv
cache deny QUERY

#—-访问控制列表—-
acl all src 0.0.0.0/0.0.0.0
#acl dst dstdomain .sends.cc
#acl dst_other dst 0.0.0.0/0.0.0.0
http_access allow all
#http_access allow dst
#http_access deny dst_other

#—-启动用户组

cache_effective_user proxy
cache_effective_group proxy

• 对用户访问进行限速（适用于低带宽或者容易堵塞的网络环境）

     Apache的mod_bw提供了该功能，详细配置相对容易找到，请参看相关文档。

下载最新版本
root# wget http://bwmod.sourceforge.net/files/mod_bw-0.7.tgz

解压
root# wget http://bwmod.sourceforge.net/files/mod_bw-0.7.tgz
root# tar -vfxz mod_bw-0.7.tgz
root# cd mod_bw-0.7

修改mod_bw 0.7的bug：
由於mod_bw 0.7在编译时bug，会导致在安装后出现apr_atomic_add找不到的错误，所以要修改mod_bw.c

将原本的：

/* Compatibility for ARP < 1 */
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif

改成：

/* Compatibility for ARP < 1 */
/*
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif
*/

更新Debian软件包：
root# apt-get update

安装apxs2：
root# apt-get install apache2-prefork-dev

安装gcc：
root# apt-get install gcc

执行模组安装：
root# apxs2 -i -a -c mod_bw.c

这时就会安装到你的Apache的模组里，并且http.conf也已经自动加上了：
LoadModule bw_module modules/mod_bw.so

建立mod_bandwidth工作目录
root# mkdir -p /tmp/apachebw/link
root# mkdir -p /tmp/apachebw/master
root# chown -R nobody:nobody /tmp/apachebw
root# chmod -R 755 /tmp/apachebw

配置：
Options Includes FollowSymLinks MultiViews
AllowOverride None
order allow,deny
allow from all
# Limit BW usage
BandWidthModule On
ForceBandWidthModule On
#開放20KB对外使用
BandWidth all 51200
#每Connection最小带宽为50K
MinBandwidth all 51200
#大于50M的文件传输速率按50Kbytes/sec
#LargeFileLimit 51200 51200
#最大同时连接数量
#MaxConnection 300

把Apache服务器重新启动就可以实现对带宽的限制了。

———————————————————————————————————————-

apxs工具安装
编译mod_encoding时，必须要有apxs，httpd-devel中包括创建和安装扩展模块的apxs工具。如果是你安装了Apache，检查${APACHE_HOME}/bin/下是否存在apxs，如果存在则略过该步无需自己安装该程序包，如果尚未安装e则需要自己手动安装httpd-devel

• 友情提示

     为防止站点资源被百度或者迅雷盗链，尽可能将你们的资源重新编码或者打包，有办法的话，还可以经常改变下载地址。

     另外如果你怀疑有Dos攻击的话，可以运行
     netstat -an | grep -i “服务器ip地址:80″ | awk ‘{print $6}’ | sort | uniq -c | sort -n 
     这个命令会自动统计Tcp连接各个状态的数量，如果SYN_RECV很高的话，就不能排除有基于tcp协议的ddos攻击的可能
     这样的话，你需要打开tcp_syncookies 
     echo 1 >; /proc/sys/net/ipv4/tcp_syncookies
     如果没有 /proc/sys/net/ipv4/tcp_syncookies说明你的内核不支持syncookies，需要重新编译内核
     同时降低syn重试次数
     echo “1″ >; /proc/sys/net/ipv4/tcp_syn_retries
     echo “1″ >; /proc/sys/net/ipv4/tcp_synack_retries
     加大syn_backlog，以保证用户的访问（消耗内存为代价，设的太高。。）
     echo “2048″ >; /proc/sys/net/ipv4/tcp_max_syn_backlog
     如果还是不行，那么只能交给相应的硬件防火墙了