V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
acoldfox
V2EX  ›  站长

网站持续遭受 ddos 攻击,峰值流量有 20 多 G

  •  
  •   acoldfox · 2017-04-11 15:10:24 +08:00 · 17627 次点击
    这是一个创建于 2764 天前的主题,其中的信息可能已经有所发展或是发生改变。

    就一普通 seo 优化小网站,部署在阿里云 ecs 上,没什么钱,所以阿里高防 ip 是不会想的了。 其实也没想明白到底得罪了谁,不过以前经常被赌博网站注入代码,后来重构了之后就再没被注入了.但是这两天却又被 ddos 疯狂攻击。

    目前做了下面几个措施:

    1 、用 nginx 过滤访问频率高的前一百个 ip 2 、因为访问页面比较固定,该页面直接返回 404 3 、提升了一小点带宽,刚开始是有效果的,后来又被变本加厉的攻击

    但是依然没什么变化,网站还是持续被打入黑洞,一出来又被打入。没钱买高防 ip ,只能任人鱼肉了吗

    目前有个疑问, iptables 目前是关闭的,如果用 iptables 来屏蔽 ip 会不会比 nginx 屏蔽效果好一些呢? 对方这种强度攻击花费高不高呀,等几天对方会不会停止攻击呢?

    68 条回复    2018-12-20 23:25:52 +08:00
    neroxps
        1
    neroxps  
       2017-04-11 15:14:42 +08:00
    才 20 个 G ,毛毛雨~
    xustrive
        2
    xustrive  
       2017-04-11 15:15:54 +08:00
    一直没明白 DDOS 的流量都是哪里来的 动不动就是几百个 G 的 - - 家用带宽上行不才 2-8M
    c0878
        3
    c0878  
       2017-04-11 15:16:16 +08:00
    换 IP 试试 估计是你被黑以后 IP 被某些人盯上了吧
    jccg90
        4
    jccg90  
       2017-04-11 15:16:20 +08:00
    被打进黑洞的话,怎么搞都没用吧。。。经常备份,然后买个国外的便宜的带高防的 vps ,被打的时候解析改到国外的高防 ip 上。。。
    bk201
        5
    bk201  
       2017-04-11 15:20:09 +08:00
    访问设置请求间隔时间,小于这个时间一定次数, ban ip
    实在不行页面暂时全部替换成图片或者静态化,等攻击停止。
    neroxps
        6
    neroxps  
       2017-04-11 15:21:17 +08:00
    @xustrive 本人 vultr 的主机曾经有幸被爆破了 SSH 当成肉鸡,半小时打出去 200G , vultr 才封了我的 vps~
    krzover
        7
    krzover  
       2017-04-11 15:21:41 +08:00
    老师我也想学 ddos
    RobertYang
        8
    RobertYang  
       2017-04-11 15:22:26 +08:00 via Android
    你那个只能防 cc 吧,上次 28G 的流量过来直接给我丢黑洞了
    acoldfox
        9
    acoldfox  
    OP
       2017-04-11 15:23:40 +08:00
    @bk201 ban ip 是用 iptables ban 还是用 nginx ban ,哪个效果好,还是差不多呢
    jellybool
        10
    jellybool  
       2017-04-11 15:25:46 +08:00
    目前我觉得对付 DDOS 的最好解决方案就是备抗 D 服务器,遭遇攻击的时候切换过去就好。
    xustrive
        11
    xustrive  
       2017-04-11 15:29:34 +08:00
    @neroxps 呃··· 这损失不小吧··· 话说爆破是直接撞出了密码?
    neroxps
        12
    neroxps  
       2017-04-11 15:33:08 +08:00
    @xustrive 没损失,当时拿来当梯子,所以 SSH 密码非常简单~而且 vultr 是按时间算~不是按流量计费~删了主机重装一个就是了~一分钱都没少。
    mylab
        13
    mylab  
       2017-04-11 15:36:09 +08:00   ❤️ 2
    可以用 dnspod 解析,国外 ip 直接解析到 360 或者 baidu ,或者用加速乐,安全宝之类的有免费抗 20G Ddos,
    zhangxudong
        14
    zhangxudong  
       2017-04-11 15:38:49 +08:00   ❤️ 7
    分享一个我的处理方案,我用 DNSPOD 的 D 监控去监控网站访问,一旦访问失败会切换 dns 解析到另外一个 ip 地址,然后在阿里云上开了几个 SLB 反代网站, DDOS 流量进来达到 20G 丢进黑洞之后, dns 解析就会依次切换 ip,不至于影响网站访问
    rhwood
        15
    rhwood  
       2017-04-11 15:46:28 +08:00
    nginx/iptables 都没戏。你需要一个抗 D 的服务器。提供流量清洗服务。另外传闻 GCE 能抗 D ,我没测试过,现在免费送 300 刀试用,你可以试试看。
    vultr
        16
    vultr  
       2017-04-11 15:49:36 +08:00
    cloudflare.com 欢迎你。
    Chalice
        17
    Chalice  
       2017-04-11 16:16:15 +08:00
    换台主机然后套个百度云加速呗
    smdx
        18
    smdx  
       2017-04-11 16:29:59 +08:00 via iPhone
    所有页面加上 md5 校验,不可以防止吗,
    wuxqing
        19
    wuxqing  
       2017-04-11 16:30:52 +08:00
    @Chalice 百度云加速我看收费的专业版才 10G 防护,免费版更少了吧。 LZ 可是 20G 攻击,没啥用
    smdx
        20
    smdx  
       2017-04-11 16:32:27 +08:00 via iPhone
    key 藏起来,没有 key 得访问直接终止
    jasontse
        21
    jasontse  
       2017-04-11 16:37:46 +08:00 via iPad
    20G 流量网络受不了的,只能抗下来清洗,不用阿里家的高防你也只能用别家的高防。
    Lucius
        22
    Lucius  
       2017-04-11 16:47:44 +08:00
    @smdx #20 如果直接终止。。那干嘛不直接拔网线?
    smdx
        23
    smdx  
       2017-04-11 16:50:05 +08:00 via iPhone
    客户端,隐藏一个 key , md5 后给服务器,服务器看对不对,不对就终止
    smdx
        24
    smdx  
       2017-04-11 16:51:04 +08:00 via iPhone
    @Lucius key+随机数 md5
    killerv
        25
    killerv  
       2017-04-11 17:01:44 +08:00
    ddos 在 nginx 和 iptables 层面无解吧
    mytsing520
        26
    mytsing520  
       2017-04-11 17:06:54 +08:00
    两个点:
    1.楼主写的规则是抗 CC 的规则,应对 DDOS 没用, DDOS 是纯粹的流量攻击;
    2.如果是针对 IP 地址的爆破,你加 CDN 没用。
    googlebot
        27
    googlebot  
       2017-04-11 17:19:57 +08:00 via iPad
    装的什么网页系统? linux 很难黑的,一般是网站里有上传功能,一般都有漏洞,
    webjin1
        28
    webjin1  
       2017-04-11 17:27:55 +08:00 via Android
    @acoldfox 最接底层 ban 效果最好。
    chairuosen
        29
    chairuosen  
       2017-04-11 17:30:13 +08:00
    源站 IP 暴露了,切 DNS 没用的
    lan894734188
        30
    lan894734188  
       2017-04-11 17:58:44 +08:00 via Android
    关机睡觉就好
    Devmingwang
        31
    Devmingwang  
       2017-04-11 18:01:18 +08:00 via Android   ❤️ 1
    域名暂时解析到 93.46.8.89 让全国各省市运营商防火墙和国际出口的防火墙帮你抗,还有就是意大利 fastweb 的路由帮你抗,这是终极解决办法,现在有些企业遭受 ddos 就这么做的。
    Devmingwang
        32
    Devmingwang  
       2017-04-11 18:03:35 +08:00 via Android   ❤️ 1
    如果源 ip 泄漏就用 iptables 转发所有流量到 27.204.100.1 就行,让山东联通帮你抗。
    xspoco
        33
    xspoco  
       2017-04-11 18:21:48 +08:00
    歪个楼。

    拥有一个会被人 ddos 的站是什么体验?
    Devmingwang
        34
    Devmingwang  
       2017-04-11 18:25:41 +08:00 via Android
    源 ip 泄漏的话,如果是阿里,重新找个别的机器,安全组设置一下仅允许这台机器访问,然后这台机器反代网站。
    Chalice
        35
    Chalice  
       2017-04-11 18:33:27 +08:00
    @wuxqing 写是那么写,但是目前是不限制抗 D 的量的
    azuis
        36
    azuis  
       2017-04-11 18:43:59 +08:00 via iPhone
    @Devmingwang 你怎么不说直接解析到 127.0.0.1 让攻击者自己扛…直接黑洞路由了哪还到的了 iptables …
    azuis
        37
    azuis  
       2017-04-11 18:45:45 +08:00 via iPhone
    20 多 G 买高防吧。国内还是有不少高防机房的。流量攻击软件上设置没用的。只能靠花钱…
    qcloud
        38
    qcloud  
       2017-04-11 19:04:12 +08:00   ❤️ 1
    @xspoco #33 爽歪歪
    tSQghkfhTtQt9mtd
        39
    tSQghkfhTtQt9mtd  
       2017-04-11 19:12:22 +08:00 via Android
    上面说的方案就没几个有效的。。。
    阿里云被 DD 20G 这个情况你在自己机器上怎么设置都没用的,流量没到你机器就被上级查到然后黑洞你了
    justs0o
        40
    justs0o  
       2017-04-11 19:19:52 +08:00
    直接买法国 OVH ,但是不防 CC
    zhujinhe
        41
    zhujinhe  
       2017-04-11 19:59:01 +08:00   ❤️ 1
    不值当的买高仿.买个 SLB.被攻击了就换 SLB 的 IP.
    买了高仿后,高仿快到期的时候肯定被攻击我会告诉你?
    kaer
        42
    kaer  
       2017-04-11 20:01:24 +08:00
    @xustrive 扫描肉鸡 用肉鸡攻击
    J0022ZjV7055oN64
        43
    J0022ZjV7055oN64  
       2017-04-11 20:05:44 +08:00   ❤️ 1
    @neroxps #6 那是流量 不是每秒吧
    firefox12
        44
    firefox12  
       2017-04-11 20:24:08 +08:00 via iPhone
    一般来说你只有一个 1G 的网卡 你怎么测出来有 20G 的 ddos ?
    acoldfox
        45
    acoldfox  
    OP
       2017-04-11 21:05:21 +08:00
    @zhangxudong @zhujinhe slb 这个感觉不错,回头有空尝试下
    @killerv 嗯,我现在才想明白
    @webjin1 硬件防火墙么
    @Devmingwang 转发跟关闭网站不是一样的吗,你是说引诱对方不断加大攻击流量吗?
    @zhujinhe 难道。。跟以前的杀毒软件一样?
    @firefox12 阿里云有监控统计图表
    masterzh01
        46
    masterzh01  
       2017-04-11 21:18:16 +08:00
    ddos 流量型攻击, synflood, udpflood 居多,得用抗 D 服务器去抗

    有一类特殊攻击( cc 攻击),发起真实请求(源 ip 是真实的)去消耗服务器资源,这类可以简单封 ip 拦截

    iptables 性能有问题,来几万公鸡会直接死掉吧
    konakona
        47
    konakona  
       2017-04-11 21:55:56 +08:00
    那你试试 DNSPOD 的免费 CDN 试试。
    隐藏真实 IP 。
    如果用了 CDN , IP 还被攻击,可以考虑买 IP 。
    lyhiving
        48
    lyhiving  
       2017-04-11 22:22:25 +08:00 via Android
    cf 完美防,而且你的情况只需免费版本。
    kmahyyg
        49
    kmahyyg  
       2017-04-11 22:38:11 +08:00 via Android
    @Devmingwang r31 r32 这几个是啥 ip?
    msg7086
        50
    msg7086  
       2017-04-11 22:50:09 +08:00   ❤️ 1
    @firefox12 上级服务商提供的数据啊。 DDoS 如果不打爆网卡上限的话还叫什么 DDoS 。
    dasenlin
        51
    dasenlin  
       2017-04-11 22:50:23 +08:00   ❤️ 1
    有过一晚上被攻击跑 100 多 G 的经历,网速 20MB/S ,登录 SSH 都困难, 试着用 iptables 来抵挡,可以稍微减轻些压力,但是攻击者的 ip 成千上万,屏蔽之后又有新的,原来这些 ip 大部分是伪造的, iptables 的效果微乎其微,用了百度云加速免费版之后才彻底抵御,记得安全选项一定要选 “高”,不然没有作用,当然,网站备案后可以用国内的节点,访问速度基本不影响
    EyreFree
        52
    EyreFree  
       2017-04-11 22:56:07 +08:00 via iPhone
    @zhangxudong 大佬稳
    wdlth
        53
    wdlth  
       2017-04-11 23:02:34 +08:00
    至少先把域名做国内外分别解析
    skyeycirno
        54
    skyeycirno  
       2017-04-12 00:40:48 +08:00
    上 cloudflare
    txydhr
        55
    txydhr  
       2017-04-12 02:55:56 +08:00 via iPhone   ❤️ 1
    我在美国家里的树莓派 ssh 被暴力破解,结果好多天持续 50-60mbps 对外发动攻击,因为占用的是上传,根本发现不了。那几天动不动一些国内小网站打不开,估计是我的 ip 被各种机房 ban 了。。后来关了 ssh 的端口映射。。结果几个星期以后又来 dns 放大攻击。。又是好几天对外 50-60mbps 的攻击。。。太可怕了
    Vicer
        56
    Vicer  
       2017-04-12 03:20:14 +08:00 via Android
    才 20G ,真不是事~
    baskice
        57
    baskice  
       2017-04-12 08:00:21 +08:00   ❤️ 2
    那些说 20G 不是事儿的别理他们,只是装逼而已。现在攻击都是混合一起来,应付非常麻烦。
    我这边网站经常因为写事实而被私服游戏等攻击,从 1G 到短时间 200G , CC 和 伪造复杂请求压死后端填爆数据库都出现过。
    首先网站类型,用户有交互和无交互应对完全不一样。

    用户无交互型的网站解决相对容易,静态化缓存后直接买抗 D 数据中心的机器,一般国内短时间都能挡到 100G 然后开始拔线,长时间的话 20G 就拔了 /境外根据价格通常短时间 1000G 内、长时间 100G 就得黑洞了
    如果是 CC 等针对程序的耗死攻击,廉价的解决方案是 临时挂上 cloudflare/百度云加速 这些

    用户有交互就难搞了,这些对服务器性能要求也高,通常放的 Linode/DigitalOcean/阿里云 /腾讯云 这些 2~5G 短时间就立刻黑洞丢流量
    抗 D 数据中心周转是一个办法,但是成本相对高,而且中转也总是会影响交互响应速度。
    上了 cloudflare/百度云加速 这些能挡到大概 20G 长期 短期的话很迷难说,虽然基本都免费但对网站速度影响相当大
    过百 G 持续攻击就得考虑上收费流量清洗服务( akamai 蓝汛花钱无底洞……),或者放弃可访问性

    仅用流量清洗通常都是不够的,攻击者通常会同时构建大量请求拖死后端处理服务器或者塞爆数据库。一刀切的应对方法是直接砍掉全部交互提交,只输出内容。更聪明一些的可以临时限制提交内容体积,单用户提交速率上限,限制注册速率,停止通常后台程序留出 cpu 和 ram 给 spam 检测等的
    laxenade
        58
    laxenade  
       2017-04-12 08:16:08 +08:00
    这让我回想起了当初 EC2 被肉鸡了的恐惧 (惊恐脸
    ragnaroks
        59
    ragnaroks  
       2017-04-12 08:48:48 +08:00
    不知道楼主有没有了解过"核绑架",不道德,但很有效,网站同理.
    20G 的话基本没有国内免费抗的,可以考虑换个 ip 后再接入收费 CDN
    cat9life
        60
    cat9life  
       2017-04-12 08:56:09 +08:00
    iptables 肯定不行,流量还没到你机器呢。
    为啥不试试 cdn (先换 ip ,再上 cdn )
    14 楼可能是不花钱(少花钱)最好的方案的...我也是这样用
    ptyfork
        61
    ptyfork  
       2017-04-12 09:39:01 +08:00
    峰值 20G , 两个万兆网卡,还全跑满,楼主是做什么业务的? 能说出来膜拜一下吗? 一个机器就能配这么高带宽的网站世界排名前 10 没问题了吧?
    aulia
        62
    aulia  
       2017-04-12 09:39:45 +08:00 via Android
    就怕你的源 IP 泄露了,不过前阵子我也遇到过这样的问题,后来了加 slb 跟 cdn 后就没有再出现了,楼主可以试试
    xia0pia0
        63
    xia0pia0  
       2017-04-12 10:27:23 +08:00
    那必须换台服务器,换个 IP 了,然后 CDN 隐藏真实 IP 。其实对要搞你的人来说,也就是加大点难度,问题还是在于 DDOS 攻击成本太低,防护成本太高了。
    mrjoel
        64
    mrjoel  
       2017-04-12 11:33:23 +08:00
    临时转移到 OVH 的机房吧, 480G 任他干,现在 IP 变动对 SEO 的影响应该没那么大了吧,毕竟 CDN 时代,你做这个的应该懂。

    这多半说明楼主的某些关键词已经快要到首页了。
    wangdu2012
        65
    wangdu2012  
       2017-04-12 12:35:42 +08:00 via iPhone
    确定不是阿里云在弘基么
    vjnjc
        66
    vjnjc  
       2017-04-12 15:18:05 +08:00
    @azuis 听上去不错,如果是针对域名的攻击能这么防吗?通知域名服务商随便转发到某个 ip ?
    spartda
        67
    spartda  
       2017-08-03 11:41:22 +08:00
    为什么不找个第三方靠谱的安全防御服务来抗 DDOS 攻击,你这么懒,我给你推荐一个至今我一直在用的服务吧!国人鼎鼎有名的知道创宇,我使用的是加速乐和抗 D 保,一个用来隐藏 IP 和加速,一个用来抗 DDOS 攻击的。
    zoenreo
        68
    zoenreo  
       2018-12-20 23:25:52 +08:00
    徐州高防,妥妥的,20Gbps 小意思,秒解,联系我就行,物理机和云都有,现在促销,云最低 80 就行,150Gbps 高防起步,可以先测试,QQ:872283896
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3586 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 04:27 · PVG 12:27 · LAX 20:27 · JFK 23:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.