hoover.org ,美国的胡佛研究所网站

 www.hoover.org

魏京生：中共的本质是两面派的骗子

这个世界上的骗子有多种。一种是善意的骗子，为了减少负面的事情发生而隐瞒了真相。一种是恶意的骗子，骗钱骗色骗信任，例如卖假货的，碰瓷的，等等。还有一种恶意的骗子，危害性最大可又往往不被人注意，这就是政治骗子。共产党就是政治骗子中的佼佼者。

共产党不仅是以政党为单位的巨骗，而且是以骗自己人为开始，又以骗自己人为终结。从马克思、恩格斯开始，就是一场没有逻辑的骗局。这个骗局是建立在人类共同的美好愿望之上，所以骗取了很多人投身和支持，特别是头脑简单、热血过剩的年轻知识分子。

马恩两位大师的发明，就是那个没有逻辑的，用暴政实现美好理想的无产阶级专政理论。熟悉这套理论戏法的西方人，很少被他们忽悠。所以他们和他们参与创立的社会民主党，通过一场争论之后分道扬镳了。就像在旧大陆无害的小虫子，到了没有天敌的北美就泛滥成灾。在不熟悉欧洲文化的俄罗斯和中国，被绝大多数欧洲人嗤之以鼻的小把戏，成功地在东方制造了灾难。

中共一百年来吸收成员的手法，就是描绘美好理想。并且像一切邪教一样，神秘兮兮地告诉小青年，那美好的伊甸园就在不远的前方，为了解放全人类，牺牲吧。前期没执政时代的共产党员，绝大多数都是这么被吸引的。

说它是两面派政党，是因为它有自相矛盾的基本理论和目标。一个是美好理想包括民主自由，对外宣传的只有这个，而且是极端民主的类似无政府主义。青年知识分子最容易被吸引，所以早期直到三十年代参加的党员，大多数都是青年知识分子。而马列主义的本质-专政独裁暴政，则藏在了内部不为人知。直到顾顺章案件发生，才让大多数人认识到他们残暴政治的另一面。

由于以周恩来为首的打入国民党内的势力企图发动政变，摘取北伐战争的胜利果实，受到国民党的强力镇压，不得不退到农村和工厂发展势力。农村发展比较顺利，制造了很多的农村根据地。中共的重心，也因此逐渐转移到了农村根据地。在农村根据地，共产党暴政就已经显露出了他们的獠牙。特别是对不同意见的青年知识分子的屠杀和恐怖政治，是以苏联斯大林的暴政为摹本，毛泽东和邓小平都曾是刀下余生的死鬼。至此，党完成了马克思列宁主义者的蜕变。

现在网络上有很多文章，揭露了延安时期共产党的暴政。但在国统区和日占区，无数的青年知识分子仍然被那美好的理想和邪教说辞忽悠到共产党里来。但共产党队伍的主要成分，已经转变为农民。他们的思想就是忠于打天下的领袖，为自己将来博一个好出身。所以斯大林主义的暴政实行起来，就更加得心应手。伟大领袖独裁的结构，就在这样的环境下产生了。

中共执政后，就不太需要披着的那张民主自由的羊皮了。那些还相信民主自由的老共产党人和民主党派，遭到了彻底的清洗，并且开始了苏联斯大林式的经济改革。被吸收的党员，已经不太在乎什么理想能不能实现，而是为自己争取一个有利的社会地位和前途。这在中国文化里有两千多年的传统。

随着共产主义经济的失败，邓小平启动了回复到中国传统的模式，这就是以专制政治管理市场经济。这是一个早在一百多年前就被多数人认为是失败的模式。如果不是美国人的输血，早就维持不下去了。现在习近平还想恢复到邓小平以前的毛泽东模式，其失败就是历史的必然。

——RFA

未普：從李平的警世名言透視葛劍雄現象

香港《蘋果日報》的社論主筆李平6月23日被警方扣押，罪名是涉嫌「串謀勾結外國或者境外勢力危害國家安全罪」。他在被警方扣押前，發表了最後一篇社論《不要天快亮還尿床一泡》。

這篇振聾發聵的社論是對中國知識分子的警世通言！李平寫道：「無論是中國的文化大革命時期，還是德國的納粹當政時期，都是人類文明史上的黑暗時代。然而，黑暗總有過去的時候，人類終將回歸文明。因此，無論是知識分子，傳媒工作者，還是政治人物、豪商巨賈，身處那樣的時代，都應經受起智慧、良知的拷問，切莫天快亮了，還尿一泡在床上，貽笑歷史。」

李平勸告中國知識分子和有操守的人不要用大半輩子憑良心講話，卻在惡制度行將崩潰之際屈膝投降，出賣良知，成為權力的吹鼓手。中國哲學家馮友蘭大半生堅守良知，卻在文革後期加入了四人幫寫作組，給江青寫效忠信，結果沒幾天四人幫倒台了，他老婆氣得直罵他:天快亮了，卻尿了一泡在床上。這種發生在學術界的不堪往事，現在似乎正在復旦大學教授葛劍雄等知識分子身上重演。

葛劍雄於今年1月4日在西安交通大學舉行了一次題為《我們應該怎樣對待歷史》的講座，表達了他的一些想法，如「反對歷史虛無主義，保證中國共產黨的政治合法性」、「歷史選擇了共產黨，人民選擇了共產黨」和「任何國家、政黨、群體講的歷史都是為了加強自己的政治合法性」云云。葛劍雄不會不知道，他的這些說法是在逢迎習近平。習近平幾乎是從上任的第一天起，就開始批判歷史虛無主義，他認為，歷史虛無主義的要害，是從根本上否定馬克思主義、社會主義和中國共產黨的領導，而中國共產黨的領導是歷史選擇的，人民選擇的。葛劍雄的說法，難道不是為習近平吹喇叭擡轎子嗎？

可是，葛劍雄過去不是這樣的。他在中國大陸一直以敢言著稱。了解他的人說，他曾在六四事件後為遭到整肅的同事仗義執言、奔走相救；他敢於為社會問題公開發聲，指出社會弊病，故被人稱為「葛大炮」或「思想炸彈」。他在2009年出版的《統一與分裂》一書中，直言「在中國的歷史上分裂的時間長於統一的時間」、「分裂不一定是壞事，統一不一定是好事」以及「所謂『某地自古以來就是中國領土不可分割的一部分』的說法根本就站不住腳」的三個歷史真相。這三個歷史真相，用今天葛劍雄的言論看，是典型的、必須被批判的歷史虛無主義！

那麼，到底發生了甚麼，使葛劍雄以「今日之我」反對「昨日之我」，產生180度的善變？仔細搜索了一下網上對葛劍雄變化的反應，發現大致有這樣幾種解釋：1）政治投機，為迎合習近平時代的政治環境，曾經的熱血人物退化為政權犬儒；2）在日益嚴苛的學術環境中實施自我保護，保護家人、孩子和學生；3）做出擁抱中共專制政權的姿態，認為這就是「歷史必然性」。

我的看法是，上述三種解釋都有道理，而第三種最make sense。葛劍雄這個歷史學家可能誤判了歷史形勢，看不到隧道盡頭的亮光，甚至把黑暗看作是一種必然。試想一下，當年馮友蘭在天亮時分尿床，顯然是沒有想到天真的快亮了。另一方面，黑夜的誘惑太大，被中共嚴控的學術界人士，凡是緊跟現政權的，如復旦的張維為、陳平、沈逸等都吃香喝辣，凡是批評現政權的，如許章潤、張千帆、蔡霞等，要麽被開除出校，要麽浪跡天涯。這些對葛劍雄能沒有壓力嗎？

最後，讓我們來小結一下。所謂葛劍雄現象，指的是葛劍雄這樣的「天亮尿床」者，不僅文革時有向四人幫獻媚的馮友蘭，二戰時還有擁抱納粹的猶太知識分子。他們有個共同的錯誤：以為黑夜是漫長的，以為那就是歷史的必然。李平的警世格言就是要告誡人們：不要誤判歷史大勢；黑夜可能是漫長的，但漫長的黑夜絕不代表歷史的必然；黑夜總會過去。

——RFA

独裁和专制国家非常注重庆典——统治者的庆典

作者 法广 / 王军涛

1921-2021，100年的时间里，中共已经发展成了九千多万党员的超级政党，通过党组织渗透到中国的每一寸土地，每一个角落，对政治社会经济进行完全的控制，党国利益交织在一起难以分辨。 «纽约时报»分析认为，为准备7月1日的建党百周年纪念活动，北京封闭了多个路段，并加强了监控和安全措施。在周年纪念之前，中国政府还对潜在的异见活动进行了打压。专家认为，这归根结底是合法性问题，为了"让一个未经选举的政府合法化"。 

中共目前集全国力量办党庆，6月28号在"鸟巢"举行了大规模文艺晚会，从内容上看，"鸟巢"体育场《伟大征程》演出外表浮夸，还偏偏"漏掉"几个最重要事件，包括"大跃进"饿死将近四千万中国人；文革大清洗，全国死人无数，连国家主席刘少奇也不例外；更不用说1989年"六四"天安门屠杀，以及香港爆发的百万人参加的"反送中"运动；官媒报道突出的是此届七常委和国家副主席王岐山出席，没有看到江泽民和胡锦涛等往届国家和党最高领导人身影，共产党庆祝百年生日之际，官媒渲染出太平盛世的景象，但同时却如临大敌，采取最严格的加强各种城市管制，对异见人士进行打压，是否如前中共党校教授蔡霞所言：中共如纸老虎 随时可能垮台？

流亡美国的中国民主党全国委员会主席之一王军涛先生接受法广专访，谈他的分析和看法。

法广：在鸟巢举办的"文艺晚会"上，没有看到目前在世的前党和国家领导人——江泽民，胡锦涛，温家宝和朱镕基的身影，您认为这反映了什么问题？

王军涛：这显然不正常，我认为有两种可能性。第一个可能性是他们抵制了，江泽民可以称病说他不来。但如果江泽民不来，其他人来就会引发一些传言猜测，认为江的身体状况不好，或者会凸显出江和习的矛盾 ，这样干脆让胡锦涛等其他人也都不来了。或许其他人也不愿意去给习近平捧场，因为他们出席就是支持习近平，为他背书，估计这些已经退下来的领导人都不愿意这样做，他们都是邓路线的支持者；第二个可能性，就是习近平不愿意让他们来，担心会引起其他各种猜测和说法，引起政局的混乱，习在20大前还是非常敏感的，他要确保20大顺利进行，要压制党内的各个派系。

法广：这样不计代价大规模举办党庆的国家全世界不见多，除了朝鲜外可能就是中国了，如何理解这种宏大奢华的仪式感的需要？

王军涛：举行仪式是专制国家的特点，目的是为了专制的合法性的需要。对于独裁者而言，盛大的盛典也是他们突出自己的权威，凌驾于党和国家之上的机会，所以独裁和专制国家非常注重庆典，这不是人民的庆典，主要是统治者的庆典，统治者要让人民感受到他们的威严，所以他们很重视这种仪式感。但对于民主国家，即使有些纪念仪式，也都采取庄重和肃穆的形式，规模也不会太大。从这次习近平调动了军队驻在"鸟巢"这一点就可以看出来，中共实际上是如临大敌，没有任何欢乐的气氛，对老百姓严加防范，虽然中共说是"人民的政权"，但人民是被当作敌人一样严加防范。

法广：如果说中共在国内如临大敌，在国际上，美国为首的西方国家正在结盟在多个领域与中国对抗，这样内外交加的局势是否会改变一些目前中共高度集权的现状？

王军涛：了解中共的人都知道，中共今天的政治上的合法性、稳定性和统治资源都来自经济的发展，而经济发展主要来自于开放，如果没有西方的市场、技术和资金帮助，中国经济根本发展不起来，而是和前苏联及毛时代一样，所以现在西方国家重新对中共进行围堵的时候，他们实际上也已经通过这次新冠疫情发现，把重要的产业链放在中国这样一个动不动就翻脸，对外国进行要挟的国家是非常不安全的，中国不讲规则也让西方觉得必须要联合起来对付中共。如果说在地缘政治和意识形态的基础上，欧洲现在和美国还有分歧的话，不讲规则尤其是疫情让人们开始对中共很警觉。所以阵线一旦形成，西方国家联合起来要封杀住中国高科技的发展空间，中国马上就会感到压力。实际上在国内，即使没有西方的封杀，在中美贸易战之前，中国的民营经济就开始坍塌，中国的经济开始走上停滞的状态。从目前的状况看，西方的联盟是雪上加霜。

法广：对于共产党政权的维持问题，经常可以听到一种说法是：从中共的历史看，三年饥荒，十年文革都能熬过来，现在经济还未到维持不下去的阶段，当然也可以通过各种运动产生凝聚力的手段度过难关，继续发展下去……

王军涛：二十年前，黎安友先生曾经写过一篇有关"弹性威权主义"的文章，指出中共比历史上的任何威权主义政府都更有效的控制，但一方面，康晓光先生在21世纪初也写过一篇文章，认为专制时期的统治，政治稳定性建立在一个政治，经济和知识精英组成的铁三角上。但是中共搞独裁和反腐就逼反了政治精英；对民营企业进行打压；在意识形态上反对西方，对思想进行钳制和控制，大学学生打小报告，搞新文化大革命和意识形态专制，就把知识分子也逼反了，所以官产学这样现代社会中必要的三角力量实际上都与中共处于对立状态，所以我觉得现在他们接下来会很难维持。毛泽东的不同在于，他接管政权就是他从根据地带出来的队伍，可以把旧政权的知识给粉碎了，但是习近平没有这样的队伍，他很难对现代国家进行管理。

感谢王军涛接受法广专访。

蔡霞在美国的胡佛研究所网站发布「萬言書」 中共百年欺騙，美國人太天真

 中共百年黨慶前，前中央黨校教授蔡霞在美國智庫胡佛研究所發表長達28頁的中英文雙語「萬言書」。作為曾經的中共體制內人士，蔡霞說，中共對內已經惡劣地淪為新斯大林極權主義，對外則「走上了軍國主義圖謀發動戰爭的道路」。她指美國過去的對華政策「太天真了」。《華爾街日報》分析，蔡霞此文是敦促美國放棄與北京打交道的「天真」願望。

蔡霞的文章，題為「中共眼中的中美關係——一個局內人的觀點」。她說，1970年代以來，美國兩黨對中共政權一直抱有不切實際的良好願望。而中共始終隱藏它的真正目標和意圖，以便於從美國獲得巨大利益。2012年習近平上台，中國實力增強，習近平錯誤地判斷國際格局是東升西降，變得更具有攻擊性，並對取代美國的戰略意圖直言不諱。

回顧過去50年，蔡霞指，中共是教育人民仇恨美國。從1949年到今天，70多年來把美國視為敵人，幾十年一貫對民眾灌輸仇美意識，並已經在中國幾代人心裡扎了根。

她說，「美國人太天真了」，兩國文化很多不同，美國一個基本傳統是不說謊，遵守規則和契約。中國文化中，「欺騙存在於我們的文化血脈，我們沒有契約精神，缺乏公正意識」。假如美國人天真地相信中共漂亮言辭和空洞宣傳，就會上當受騙。這就是中國式的狡猾。中共並不認為這是不道德的，正相反，他們認為這是「策略」——正如中國古代的孫子兵法說的 「兵不厭詐」。

蔡霞舉例，中共軍隊情報系統最高層負責人熊光楷曾對「韜光養晦」一詞的英文翻譯大做文章，說譯為「hide our capabilities and bide our time」（隱藏能力靜候時機）是錯誤的，嗔此翻譯對中國外交造成了不應有的負面影響。(「韜光養晦」的核心含意是不要太張揚，要保持低姿態。)

蔡霞指出，其實任何對中國歷史和文字稍有了解的人都知道「韜光養晦」與「臥薪嘗膽」背後的野心。她指出，中共提出「和平崛起」，其實「和平」是說給外國人聽的，「崛起」才是真正意圖。

更何況，蔡霞指，中共從08奧運後已開始抛棄「韜光養晦」方針。到了2009 年，奧巴馬總統訪華被中國領導人冷淡無禮接待，中共的傲慢態度開始表現出來，中共海軍開始挑釁美國第七艦隊。2012年習上台到今，習近平對內利用民族主義強化仇恨意識，對外愈加傲慢。中共自獲得國家權力70多年來，將處理內政外交「融於一盤棋」，最優先地位是防止政權垮台。2019年以來，中共對香港民眾粗暴鎮壓，強推「港版國安法」。2021 年元旦，中共實施新修訂的《國防法》。2019年底，中國武漢爆發新冠肺炎，但中共隱瞞真相延誤防治時機，利用疫情謀取霸權。

蔡霞說，自2013年以來，她的7位朋友因發出反對聲音而全部被習當局捏造罪名拘留和被囚監。她表示，習近平上台後，中共的監控能力超過了希特勒和前蘇聯。恐懼+意識形態+信息與人工智能監控正重新定義高度精致的新極權。但她認為，精致新極權的坍塌，也有如前蘇聯和東歐國家的突然垮塌的沒人預料。如中國經濟模式的不可持續，高水平的負債率，虛假浮誇的意識形態宣傳與真實現狀，市場與國家的衝突，不斷擴大的社會貧富懸殊，而中共最高權力繼任內鬥，則有無法克服的矛盾衝突。

儘管中共實施嚴密資訊封鎖，並對國人灌輸洗腦教育，但蔡霞說，大陸仍有不少人能看清中共的本質，並透過移民離開中國。她舉例，自己從1986年起在中共黨校系統工作，30多年與中共中高層官員接觸，能說至少有 60%至70%的中共官員，是了解現代世界文明的進步。懂得只有民主憲政才能使中國長治久安，才能使自己獲得人權保障與人格尊嚴和人身安全。已經有500 多萬中國人移居美國,大约300万是1980年代以後通過求學，打工和移民等來到美國。

蔡霞總結說，中美關係將不可避免地走向對峙與對抗。

《華爾街日報》就分析，蔡霞的長文，是敦促美國放棄與北京打交道的「天真」願望，並引用胡佛研究所資深研究員Larry Diamond說：是首次有來自中共體系內的重要人物，勇敢證實美國許多中國研究學者近來的主張.

------

https://www.hoover.org/sites/default/files/research/docs/xia_chinausrelations_web-ready.pdf

并非一个人的故事 1978年

 https://www.bilibili.com/video/BV1hx411r7zu

https://baike.baidu.com/item/%E5%B9%B6%E9%9D%9E%E4%B8%80%E4%B8%AA%E4%BA%BA%E7%9A%84%E6%95%85%E4%BA%8B

下终南山, 过斛斯山, 人宿置酒

这是李白的一首名作。

 

暮从碧山下，山月随人归。

却顾所来径，苍苍横翠微。

相携及田家，童稚开荆扉。

绿竹入幽径，青萝拂行衣。

欢言得所憩，美酒聊共挥。

长歌吟松风，曲尽河星稀。

我醉君复乐，陶然共忘机。

 

这首诗的大意是：

 

傍晚从终南山上走下来，山月好像随着行人而归。

回望来时走的山间小路，山林苍苍茫茫一片青翠。

遇斛斯山人相携到他家，孩童出来急忙打开柴门。

走进竹林穿过幽静小路，青萝枝叶拂着行人衣裳。

欢言笑谈得到放松休息，畅饮美酒宾主频频举杯。

放声高歌风入松的曲调，歌罢银河星星已经很稀。

我喝醉酒主人非常高兴，欢乐忘了世俗奸诈心机。

 

这首诗写的是李白到终南山一位复姓斛斯的隐士家中做客的经过。终南山是中国著名的隐居之地，自古以来就有很多隐士隐居于此。斛斯是复姓，原本是古鲜卑族一个部族的名字，鲜卑族汉化以后变成了部族人的姓氏。

 

这是一首叙事诗，属于典型的赋体。赋、比、兴，是诗经也是中国古代诗歌最基本、最常用的三种表现手法。赋是铺陈排比的意思，相当于现在的排比修辞方法，南宋的朱熹认为“赋者，敷陈其事而直言者也”。这同时也是一首抒情诗，通过写景叙事表达了李白对隐逸生活的向往和对知音的渴望。

 

首四句写眼前景，通过环境描写烘托氛围，寥寥几笔，便把暮色苍茫的终南山写得气象万千、摇曳生姿，气势一下就出来了。“暮从碧山下，山月随人归”通过拟人手法，体现了人与自然的和谐。“却顾所来径，苍苍横翠微”，回首来时路，已经隐没在一片莽莽青苍之中，充满了时间感和空间感，扩大了诗的意境。

 

“绿竹入幽径，青萝拂行衣”，写的是隐士家的环境，一个“入”字和一个“拂”字，极其传神，体现了人与自然的互动交融。“欢言得所憩，美酒聊共挥”，写的是他们喝酒聊天的场景。“憩”是一种非常放松、舒服的状态。“挥”字很李白，颇见性情，把李白的豪放潇洒表现得淋漓尽致。

 

虽然李白老师是个天才的诗人，但个人觉得最后两句“我醉君复乐，陶然共忘机”其实可以不要，“长歌吟松风，曲尽河星稀”已经意尽了，不如戛然而止，更加意犹未尽。

 

不过“我醉君复乐，陶然共忘机”也是很好的句子，我喝高了，你开心了，我们都忘了玩手机。哈哈，开个玩笑，现代人就是这样子的，一起吃饭还不忘玩手机。诗中的“机”指的是心机或机心，即世俗的功名利禄或尔虞我诈之心。

 

全诗清俊旷逸，句句写实，但迥出象外，别有一番韵致。李白老师驾驭物象、提炼意象的能力，可以说达到了点石成金、出神入化的境界。从意象入，从意象出，用意象写出象外之意是最难的。

 

能把到山上找朋友喝大酒这样的俗事写得如此超凡脱俗、仙气纵横，恐怕也只有李白老师了。余光中的诗说：“酒入豪肠，七分酿成了月光/余下的三分啸成剑气/绣口一吐，就半个盛唐”，诚不我欺也。

Linux轻量级CC攻击防御脚本CCkiller

Linux attack defense scripts tool --- Linux CC攻击防御工具脚本

1. 请执行如下命令在线安装：

curl -ko install.sh https://zhang.ge/wp-content/uploads/files/cckiller/install.sh?ver=1.0.8 && sh install.sh -i

2015-09-23 Ver 1.0.1：

• 支持白名单为IP段，格式为IP段通用格式，比如 192.168.1.0/24；
• 新增拉黑改为判断 iptables 是否已存在操作IP的判断方式；
• 增加日志记录功能，每天一个日志文件，位于安装目录下的log文件内；
• 集成手动拉黑IP和解封IP功能，使用cckiller -b IP 拉黑，使用 cckiller -u IP 解封。

2015-11-29 Ver 1.0.2：

• 新增在线更新功能，执行 ./install.sh -u 即可检测是否有新版本：CCKiller：Linux轻量级CC攻击防御工具，秒级检查、自动拉黑和释放
• 如果发现有新版本则显示更新内容，并提示是否执行更新。选择之后将会更新到新版本，需要重新配置，但是IP或端口白名单会保持不变。
• 新增端口白名单功能
• 应网友需求，新增了这个端口白名单功能。在配置CCKiller的最后一项会提示输入端口白名单

如果需要排除某些端口，请如图最后一行所示，输入端口并已逗号分隔，比如 21,2121,8000 本次更新为非必须功能，在用的朋友可以按需更新，当然新增了在线更新这个功能，也强力推荐更新一下，方便后续检测CCKiller是否是最新版本。 更新难免存在不可意料的纰漏，使用中存在任何问题请留言告知，谢谢！

2016-06-20 Ver 1.0.3：

• 增加“永久”拉黑时长
• 有网友反馈，需要设置更长的拉黑时间。原先的机制来看，如果设置拉黑时间过长，那么可能会产生很多后台释放黑名单脚本，占用系统资源。
• 因此，1.0.3版本加入永久拉黑设置。只要在安装的时候，设置拉黑时长为0，则CCKiller不会再产生后台释放脚本，也不会释放已拉黑的IP了

但是，考虑到灵活性问题，并没有在新版中加入 service iptables save 的保存命令，所以当你重启系统或者重启iptables，这些拉黑的IP都将得到释放。当然，如果你真的想永久拉黑，请手动执行 service iptables save 即可。 注册开机启动 新版本已将CCKiller服务注册到了开机启动服务列表，重启系统不用在担心未启动CCKiller了。 兼容 Centos 7 目前博客运行在Centos 7 系统，所以将CCKiller也做了一下兼容，其实就是在Centos 7上安装了iptables。并且修复了Centos7系统对已拉黑IP的判断问题。 Ps：以上功能如果你觉得有用，可以执行 install.sh -u 进行在线更新，记得是小写u哦。

2016-10-09 Ver 1.0.4：

• BUG修复 根据网友反馈，发现攻防测试中一个IP不能被拉黑，经过分析发现命中了白名单。而实际上白名单中并没有IP段，只因IP同属于一个网段。因此，在是否属于IP段的判断中，加入对斜杠的筛选，也就是说只判断白名单中存在斜杠(/)的条目，简单粗暴！

2017-05-20 Ver 1.07 (中间漏记了2个小版本，也不记得修复了啥)

• 日志级别、开关

根据网友建议，新增日志控制开关，参数为LOG_LEVEL，支持 INFO、DEBUG和OFF 3个参数，其中INFO表示仅记录拉黑和释放IP，DEBUG记录全部日志，包括拉黑、释放的报错信息，OFF表示关闭日志。 如果需要使用该功能，可以执行 ./install.sh -u 在线更新或直接重新安装。

2019-07-11 Ver 1.0.8

• 支持IPv6检查;
• 优化在线安装脚本，减少下载失败几率；
• 基于/proc/net检查，替换netstat，避免在高并发时netstat导致CPU高负载的问题，感谢Late Winter指出，检查代码来自DDoS-Defender-v2.1.0。

from https://github.com/jagerzhang/CCKiller

-----

CCKiller：Linux轻量级CC攻击防御工具，秒级检查、自动拉黑和释放

张戈博客很久以前分享过一个CC攻击的防御脚本，写得不怎么样，不过被51CTO意外转载了。博客从此走上了经常被人拿来练手的不归之路。

当然，还是有不少朋友在生产环境使用，并且会留言询问相关问题。根据这些问题的需求，我花了一些时间重新写了一个比较满意的轻量级CC攻击防御脚本，我给它取了一个比较形象的名字：CCKiller，译为CC终结者。

一、功能申明

分享之前我必须先申明一下，众所周知，DDoS攻击指的是分布式拒绝服务。而CC攻击只是DDoS攻击的一种，本文所阐述的CC攻击，指的是单个IP达到我们设定好的阈值并发请求，而非海量IP的低并发攻击！对于个人低配服务器，除了使用CDN来防护，至少我是没有想到如何抵挡海量IP攻击的！因为每个IP都模拟正常的用户浏览器请求，并不会触发防御阈值，同时来1000个，甚至上万个，个人低配服务器的带宽在第一时间就会被占满，就无法继续提供服务了。

当然，用脚本也是无法防御DDoS大流量攻击的，因为所有机房的防御带宽是有限的，当攻击的流量超过了机房的防御带宽，要么机房把你的服务器IP拉黑洞，要么就一起死。因此，如果你的服务器正遭受大流量攻击，比如几十G上百G，一般机房或CDN节点都是扛不住的，脚本也无能为力了，赶紧换高防服务器吧！

二、功能介绍

通过以上申明，也就大致给CCKiller一个定位：CCKiller是用于个人低配服务器的轻量级CC攻击防御，可以抵挡单个IP产生的高并发攻击。

目前设计的功能特性如下：

①、秒级检查

很多人写的防御脚本都是使用了Linux系统的计划任务crontab来定时检查的。而crontab的最细颗粒是1分钟，也就是说脚本最快也只能1分钟检查一次。对于一些强迫症来说就会很不爽。

所以，我还是按照以前分享的思路，利用while循环实现秒级检查，实现更细的颗粒。当然，CCKiller更是被我写成了系统服务，更加灵活稳定。

②、拉黑时长

CCKiller可以设置拉黑时长，默认为10分钟。当发现有恶意请求时，会自动拉黑目标IP，并在拉黑时长结束后自动释放，这个功能算是对我之前写的脚本的一个大的改进。

③、并发阈值

CCKiller 可以设定单个IP的最高请求数，如果某个IP同时请求数超过了设定的阈值，就会被暂时拉黑一段时间。

④、邮件发送

这个功能没啥好说的，意义并不大。而且发送成功率和服务器的环境也有很大关系。

⑤、并发显示

安装后，直接运行cckiller会列出当前系统的请求排行，可以清晰的看到当前请求IP和并发数。使用-s参数还可以继续定制需求，比如 cckiller -s 10 就能显示当前并发数排行前10名的IP。

⑥、手动拉黑

支持手动拉黑，执行后会立即检查，将并发请求超过n的IP拉黑一段时间，比如 cckiller -k 100 就会将目前超过100个请求的IP拉黑一段时间，如果没有则不会执行任何拉黑操作。

三、工具安装

①、在线安装

由于我可能经常会更新一些功能，或修复一些BUG，所以仅提供在线安装，以保证脚本是最新的。

安装非常简单，执行如下命令就能进入配置步骤了：

curl -ko install.sh --connect-timeout 300 --retry 5 --retry-delay 3 https://zhangge.net/wp-content/uploads/files/cckiller/install.sh?ver=1.0.8 && sh install.sh -i

2017-12-13 补充：Ubuntu 系统请参考joviqiao的版本=>传送门

2017-09-06 补充：CCKiller 代码早已提交到Github，有网友问到，就来补充说明下 =>传送门。

②、工具配置

因为每个服务器的情况可能不一样，所以有一个自定义配置的过程。

执行上述安装命令后，将会进入自选配置部分，如图：

提示否使用脚本默认配置，如果选择是（y），那么显示默认配置，并询问是否继续：

默认配置如下：

The Time interval : 20 s       #每20s检查一次系统请求情况

The Forbidden Time: 600 s  #拉黑时长设为10分钟

Adminstrator Email: root@localhost   #邮件对象设置为root@localhost（即关闭邮件发送）

Connections Allow: 100      #单个IP并发限制为100

如果不符合你的需求，你可以使用 ctrl + c 组合键终止脚本，或者先继续安装，因为工具设计了配置修改的功能，所以无需着急。

如果不使用默认配置（n），则会要你输入参数来自定义配置：

如图，我将参数依次定义为每10秒进行检查，拉黑时长为300秒，发件人设置为博客邮箱，并发限制设置为60，回车后会弹出一个提示，让你检查，如果没问题你直接回车就会安装并启动：

③、服务控制

安装后，会将cckiller注册成系统服务，这时你就可以使用service来控制cckiller了。

使用标准的service定义，支持 start | stop | restart | status 四个参数。所以，你可以使用

service cckiller stop来停止cckiller，也可以使用service cckiller status来查看状态。

 ④、集成命令

成功安装后，系统还会多出一个cckiller的命令，这个命令现有功能如下：

cckiller -h可以调出帮助信息：

CCkiller version 1.0.0 Author: Jager <ge@zhang.ge>
Copyright ©2015 zhang.ge. All rights reserved. 
Usage: cckiller [OPTIONS] [N]
N : number of tcp/udp   connections (default 100)
OPTIONS:
-h | --help: Show       this help screen
-k | --kill: Block the offending ip making more than N connections
-s | --show: Show The TOP "N" Connections of System Current

我蹩脚的英文也能凑合解释一下功能了吧~

-k 是拉黑功能，需要在后面带上你想拉黑的并发数，比如 cckiller -k 100 就会拉黑当前请求数大于100的IP一段时间（和拉黑时长一致）

-s 是显示并发排名，也需要在后面带上数字，比如 cckiller -s 10 就能显示当前并发数排行前10名的IP。

⑤、文件结构

如上图所示，脚本安装目录为/usr/local/cckiller，其结构如下：

cckiller/
├── cckiller       #主程序
├── log/           #日志目录（ver 1.0.1新增特性）
├── ck.conf        #配置文件
├── ignore.ip.list #白名单
└── install.sh     #安装和卸载脚本
 
0 directories, 5 files

很简单也比较规范的的结构，当然，后续功能如果越来越多，此结构可能会有所更新，这是后话。

如果你熟悉vim的话，只要编辑ck.conf就可以定义工具参数了：

##### Paths of the script and other files
PROGDIR="/usr/local/cckiller"
PROG="/usr/local/cckiller/cckiller"
LOGDIR="/usr/local/cckiller/log"
IGNORE_IP_LIST="/usr/local/cckiller/ignore.ip.list"
IPT="/sbin/iptables"
DKName=CCkiller
DKVer=1.0.5
##### SLEEP_TIME设定检查频率，单位为秒
SLEEP_TIME=10
##### NO_OF_CONNECTIONS设定并发限制
NO_OF_CONNECTIONS=60
##### EMAIL_TO设定邮件的发送对象(请改为自己的邮箱地址)
EMAIL_TO="xxxxx@qq.com" 
##### BAN_PERIOD设定拉黑时长，单位为秒
BAN_PERIOD=300
##### 设置忽略端口，比如 21,2121,8000 (默认不忽略)
IGNORE_PORT=
 
##### 定义日志级别 INFO,DEBUG,WARNING,OFF (默认 INFO)
LOG_LEVEL=INFO

如果不熟悉也没关系。你还可以执行 ./install.sh -c 进行工具初始化，重新设定所有参数，过程和首次安装时一致，这里就不赘述了。

⑥、白名单

工具安装时会默认将系统所有IP都加入白名单，避免自己把自己给拉黑的尴尬。如果你还有其他要加白的IP，可以将IP加入到cckiller安装目录下的ignore.ip.list文件中，每行一个。

Ps：目前白名单还不支持IP段，敬请期待后续更新。

⑦、卸载工具

有心的朋友可能注意到了install.sh是可以带参数的。我写代码的时候已经设计了几个常用的安装卸载功能，具体如下：

#直接执行./install.sh 将会显示如下帮助信息
###################################################################
#  CCkiller version 1.0.5 Author: Jager <ge@zhang.ge>          #
#  For more information please visit https://zhang.ge/5066.html #
#-----------------------------------------------------------------#
#  Copyright @2015 zhang.ge. All rights reserved.              #
###################################################################
 
Usage: configure.sh [OPTIONS]
 
OPTIONS:
-h | --help : Show help of CCkiller
-u | --update : update Check for CCkiller [not available now]
-c | --config : Edit The configure of CCkiller again
-i | --install : install CCkiller version 1.0.0 to This System
-U | --uninstall : Uninstall cckiller from This System

其中：

-u 参数用来升级工具，不过目前由于没时间还没写，所以不可用(Ver 1.0.2已支持在线更新)

-i  参数用来安装工具，如果已安装则会提示并终止

-c 参数用来配置工具，方便安装后随时修改工具配置

-U 参数用来卸载工具，注意是大写哦！

因此，我们可以使用 ./install.sh -U  如图卸载CCKiller：

四、攻防测试

成功安装并启用CCKiller之后，我们可以使用压力测试工具来测试拉黑和释放效果，比如webbench 或 ab等。

假如CCKiller设定的并发限制为100，检查间隔为10s，使用webbench如下测试：

webbench -c 101 -t 60 http://www.yourwebsite.com/

启动测试后，你可以立即去服务器上查看防火墙：

iptables -nvL

多刷几下，就可以看到webbench所在服务器IP已经在DROP规则中了。

确定已被拉黑之后，你等个10分钟再来看防火墙，可以发现webbench所在服务器IP已经消失了，成功释放！

Ps：如果邮件发送功能无误，那么应该也收到了工具发来的告警邮件，比如有一个饱受CC攻击煎熬的站长给我发来的反馈：

五、更多说明

①、配置并发限制

CCKiller配置最大连接数限制时，建议根据单个网页产生的并发数来判断。

情况A： 你网站做了动静分离，那么静态的请求就到另一个域名了（假设静态资源托管在另一台服务器或是CDN），单个IP请求一个页面可能就只会产生若干并发（假设5个），我们假设某个用户很猛，他喜欢快速拖拽打开你网站的多个网页，比如同时打开10个，那么正常用户的正常最大并发你也可以基本确定了吧？即并发限制：10x5=50。如果有人同时刷新你几十个页面，要说没恶意你也不相信吧？

情况B： 如果没有做动静分离，那么一个页面产生的并发可能就比较多了，每个css、js、图片都会产生一次请求。所以，在这种情况下就需要稍微计算一下你网站单个页面产生的并发请求，比如一个单页面会产生30个请求，那么你也需要考虑用户可能会连续拖拽多个页面的情况，假设我允许用户可以同时刷新10页面，那么并发限制就可以设置为300了，依此类推。

容错：从A和B来看，CCKiller其实是有一个盲点的，那就是如果用户IP是某个公司的统一出口，也就是代理上网IP，那么工具就容易误杀无辜了。所以，除了A和B，你还得考虑你网站的受众人群类型。比如，我就一个个人博客，同一时刻被一个公司的多名同时多窗口拖拽访问，这种情况也不多吧？如果可能存在这种受众人群，那么这个并发限制可以设置大一些，避免错杀无辜。当然，拉黑也就10分钟而已，也不至于“一失足成千古恨”。。。

当然，不管哪种情况，并发限制都可以比预估设置高那么一些，这个自行斟酌吧！

②、不足与完善

CCKiller是我最近利用闲暇时间，匆忙之作，难免会有各种问题。也没时间进行测试和完善。不过目前还是有数位站长在使用，暂未反馈异常。当然， 我分享的是在线安装方式，也是为后续的更新提供方便。不过对比我以前写的防御脚本，CCKiller算是有了长足的进步了，很简单的安装，更强大的功能！

功能计划：

A. 在线升级功能

这个不用多说，现有的工具已经预留了，后面可能会加入版本判断和更新的功能。

B. 加入其他安全防护设置

目前工具其实是赶鸭子上架一样，直接就检查，也没有对系统环境做一些初始化的设置。比如网站通用的iptables设置、sync洪水攻击防御等。后续会在安装的时候会作为一个可选功能。

C. 集成傻瓜式的防火墙控制功能

并不是每个站长都会熟练操作iptables，所以可能考虑给ccki

ller这个命令集成一个ban和unban ip的功能，比如禁止一个ip，执行 cckiller -D $ip 即可，降低 iptables 的使用门槛。

另外，值得说明是，CCKiller只适合裸奔的网站，而不适合使用CDN的网站，因为使用CDN之后，请求过来的IP都是CDN节点，你总不能把CDN节点也拉黑了吧？（Ps：其实也可以用，你把并发限制稍微设置高一些就好了，就算拉黑CDN节点也就拉黑10分钟而已，不至于影响过大）

针对这个问题，后续我会找时间研究下直接从Nginx日志里面取得真实来源IP来拒绝访问。目前已经有了阶段性的进展了，敬请期待！

from https://zhang.ge/5066.html