这是一个创建于 3648 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题。
网站在阿里云,纯粹的企业展示型网站。
第一次被攻击后,把数据库转移到了rds.做了主要页面的缓存,网站域名只想了阿里云盾的cname。
目前客户已经把带宽提高到50mb,依然被ddos全部占满。
我分析了下apache日志,几分钟就统计有几十个不重复的IP地址。user-agent之类也都不同。感觉难以从技术上区分攻击流量和正常流量。
这时候除了继续提高带宽,还有其他可以做的么?
网站在阿里云,纯粹的企业展示型网站。
第一次被攻击后,把数据库转移到了rds.做了主要页面的缓存,网站域名只想了阿里云盾的cname。
目前客户已经把带宽提高到50mb,依然被ddos全部占满。
我分析了下apache日志,几分钟就统计有几十个不重复的IP地址。user-agent之类也都不同。感觉难以从技术上区分攻击流量和正常流量。
这时候除了继续提高带宽,还有其他可以做的么?
第 1 条附言 · 2014-11-13 09:47:47 +08:00
最新进度。客户今天联系我说升到200mb带宽,服务器还是挂了……
第 2 条附言 · 2014-11-13 15:40:37 +08:00
最新进度:
访问图片飙流量的暂时停了。
现在开始找我没做缓存的页面开始攻击了。
怀疑是两波人在攻击。
访问图片飙流量的暂时停了。
现在开始找我没做缓存的页面开始攻击了。
怀疑是两波人在攻击。
 |
1
hao0088 2014-11-12 11:50:57 +08:00  1
CC吗?考虑下安全宝,加速乐啥的~
|
 |
3
xloong 2014-11-12 11:56:17 +08:00
CC的话,什么加速都没用,除非上硬防
|
 |
4
jarlyyn OP @xloong 硬防的话能有效防止么?我分析了下日志,就是用一个ip访问首页,下载所有图片/css资源,然后换一个ip,关键是ip多啊
|
 |
5
shiny 2014-11-12 12:04:23 +08:00
限制单个 ip 的速度和请求频率
|
 |
6
qiuai 2014-11-12 12:07:26 +08:00
阿里云的所谓云盾很废物.所以用不用无所谓.
我现在一个客户在我这租的硬防服务器.在阿里云老是检测到几十兆几百兆的攻击,然后就被阿里云直接黑洞了...结果换到高防服务器以后,一点攻击都没检测到... 然后现在在用 百度云加速,也完全检测不到攻击...很无语... 你可以切换到百度云加速试试.这种服务自带流量清洗,比阿里云的更有用一些. 如果还不行,来硬防吧 QQ410668.. |
 |
8
cst4you 2014-11-12 13:02:14 +08:00 5
把网站置空 10 分钟, 统计 404 的频率, 把请求多的 ip 直接加入列表封掉, 应该一次性的就能追查到 70% 的恶意 CC 的 ip 了, 然后再把网站恢复, 如果还是很高, 那就再次这样做, 直到封完大部分 ip 为止.
反正不信对方有那么多机子来搞你. 他花的成本也高. |
 |
9
bobopu 2014-11-12 13:03:07 +08:00 via iPhone
1.调低云盾的触发阀值
2.使用sitelock 3.更换域名的Dns |
 |
11
kmvan 2014-11-12 13:16:19 +08:00
几分钟几十个IP也能叫攻击?
|
|
16
jarlyyn OP @plprapper
是我的我就迁移了,这不是蛋疼么…… [root@iZ23mx7tfwpZ httpd]# cat ip_log |wc -l 500 [root@iZ23mx7tfwpZ httpd]# uniq ip_log |wc -l 461 10多分钟的数据 要我说这看上去分明是推广做的好么…… |
|
19
kmvan 2014-11-12 14:02:08 +08:00
交给渣浪图床吧
|
|
20
jarlyyn OP 切换回了正常网站
目前带宽仍然处于接近跑满状态 ip地址仍在稳定增长 cat ip_log |sort -u|wc -l 788 |
|
21
jarlyyn OP cat ip_log |sort -u|wc -l
1053 半个多小时ip过1000了,是不是该恭喜客户网站做的很成功-________- |
 |
22
scys 2014-11-12 14:28:34 +08:00
用下简单流量限制,每个IP流量限制流量,单线程限制为10k,让他们慢慢拉。
然后做个黑名单,在黑名单的,直接每个IP每个线程512b,嗯嗯,看谁拖死谁。 记得开多几个IP,分流,反正看你现在是有这些成本在了,就直接和他们玩~嗯嗯 |
 |
23
Yamade 2014-11-12 15:39:31 +08:00
关键时刻 还是360管用.至于很多人黑360,有的人支持360,你怎么看?
http://wangzhan.360.cn/ |
|
24
jarlyyn OP 2小时3600多ip。
丢给客户了。毕竟运维这块他自己做的-____- |
 |
28
hicdn 2014-11-12 16:21:31 +08:00
加速乐的防 CC 远远领先国内其他几家
|
 |
29
RIcter 2014-11-12 17:34:23 +08:00
真正的 DDOS 会在几秒钟打挂一个网站的.._(:3
|
 |
31
xdeng 2014-11-12 17:41:43 +08:00
图片太大了吧 css js html 没压缩 ?
|
|
32
xdeng 2014-11-12 17:42:21 +08:00
阿里的 阀值 调低啊。。。
|
|
35
jarlyyn OP |
 |
36
em70 2014-11-12 18:10:11 +08:00 via Android
50m带宽都扛不住?这ddos成本够高的,耗着呗,带宽临时加200,对方比你贵得多,打不死你他就死,很快他就扛不住了
|
 |
38
halczy 2014-11-12 18:23:49 +08:00
加个CDN例如Cloudflare之类的. 听说免费Plan一共能顶100TB流量.
|
 |
39
nilai 2014-11-12 18:31:21 +08:00 1
@jarlyyn 首先 50M算初学级的DDOS了。 要产生50MBDDOS的流量很容易,成本非常的低,对方完全有这经济实力跟你耗 其实 前面一些人在说上硬防,完全是没实际接触过。 阿里云主机是你没法自己上硬防, 假若能上硬防, 又一个基本常识 你的带宽只有50MB,就算你在前面加个黑洞一样没用。 最后,可能能缓解的是 增加带宽,CDN, 日志分析,封IP,上软的WAF。 可能会有用,若有详细咨询,可加马化腾联系
|
 |
40
extreme 2014-11-12 18:39:52 +08:00 2
我觉得准确点,应该是CC攻击。
要对抗云盾都防不住的CC攻击,那就得做出一点牺牲了。 访客访问网站,首先检查Cookie中有没有SessionID,没有的话就302重定向至一个页面,要求输入验证码,正确后就生成一个Session,Set Cookie,Cookie中带Session ID,Sssion中保存访客的IP,并生成一串随机字符,然后Set一个Cookie,内容为随机字符。 已有Session的访客,每次访问就检查Session中的IP是否与访客的IP一致,否就302到验证码页面,要求重新验证。 IP检查通过后,就检查Cookie中的随机字符是否与Session中的随机字符匹配,否就302到验证码页面要求重新验证,匹配的话,就重新生成一串随机字符到Session,并且重新Set随机字符的Cookie。 这样做非常有效,但会影响搜索引擎的抓取,不过总比被CC到宕机无法访问好。 |
|
41
cst4you 2014-11-12 20:40:01 +08:00
下你图片, 看起来挺贱的....
|
|
42
em70 2014-11-12 21:04:35 +08:00 via Android
|
|
43
nilai 2014-11-12 22:02:56 +08:00
@em70 DDOS小于1G流量的我都不用买肉鸡,分分钟给你打出来, 至于更大的。 10G 3000/天 嘿嘿, 不能透露太多。
|
 |
45
benjiam 2014-11-12 22:23:44 +08:00 via Android
这个简单 加个iptables访问限制单IP连接数和连接下载速度就可以了。Nginx有插件
|
 |
46
coderwang 2014-11-12 22:44:56 +08:00
apache 前加个haproxy haproxy 可以配置简单的ddos protection
https://github.com/jvehent/haproxy-aws/blob/master/haproxy.cfg 试试 |
 |
47
ryd994 2014-11-13 00:02:17 +08:00 via Android
iptables限制syn频率以及连接数,
同时Nginx http_limit_req进一步限制请求频率 |
 |
48
lmaq 2014-11-13 00:46:45 +08:00
阿里云的话先工单申请换IP地址然后在用cname,因为攻击你的很可能攻击的是IP地址!
|
 |
49
konakona 2014-11-13 02:38:38 +08:00
既然是放在阿里云服务器上,一定要提交工单问下客服有什么好的软硬措施推荐。
再者,弄了CDN没有?搞个CDN,换IP。 |
 |
51
msg7086 2014-11-13 05:47:15 +08:00 1
|
 |
52
hellov22ex 2014-11-13 08:06:25 +08:00
@typcn
问问这个基佬 |
|
56
jarlyyn OP 200mb还是挂了
|
 |
57
vwhenx2 2014-11-13 09:54:13 +08:00
@jarlyyn 同样放在阿里云被攻击1G流量攻击过的路过。
1. 把所以的图片、js、css和静态页面做CDN。阿里云自带的CDN即可。这样只让动态请求到服务器。 2. nginx里面设置访问频率限制,连续两次访问间隔不能低于1秒。 然后就随便他怎么刷了,不会挂。 |
|
60
jarlyyn OP 感觉阿里云的后台挂了,不管是ecs还是rds.....
|
|
61
jarlyyn OP 昨天下午到现在,IP数为
9171 |
 |
62
tabris17 2014-11-13 10:28:00 +08:00
@extreme 只有这个办法,CC的话只有攻击方IP充足,跑光你的流量,一点办法也没有。只有通过captcha来区分正常人类访问和程序访问
|
|
65
qiuai 2014-11-13 10:44:17 +08:00
@jarlyyn 哦.那你有的忙了...
估计最后也是你在程序里加防CC的功能.比如说访问先等待个5秒,再跳转到正常内容.然后禁用图片的直接访问,限制图片的调用来源.这样也是最有效的. |
|
66
jarlyyn OP @qiuai 图片的调用来源都是指向了网站首页……自己做程序当然知道,除了ip和端口一切都是客户端发来的数据,都可以伪造……
|
|
67
qiuai 2014-11-13 11:07:11 +08:00
@jarlyyn 所以让你试试在显示首页的数据之前,先弄一个最简单的页面,最简单的JS,跑个5秒,然后再跳转到正常页面.如果是用机器来实现的.应该会返回一个200,然后加载完成,就继续下一次访问了,也就不会压到静态资源上.
如果5秒还是有很多,可以延长到15秒.甚至改成点击一个按钮才会跳转到首页.然后把首页地址稍微改一下.这样不会因为有缓存而访问到.而正常用户只需要点击一次按钮就可以了. 搜索引擎的话就考虑完全copy一份,放在不同的IP.然后单独给搜索引擎这个IP,这样不影响SEO. 如果你想坑他,就把现在的首页改成一个跳转到下载个ISO文件的链接...让他去下载吧.... |
 |
68
typcn 2014-11-13 11:29:18 +08:00 1
图片放到渣浪图床上
css js 放在第三方存储上 服务器只发页面并做页面缓存 做一个页面 please wait , allow up to 5 secs 所有页面没有SESSID禁止访问,首页打开之后,用户点击 javascript ajax 调取服务端, 服务器端sleep(5); 然后再发放SESSID并写入COOKIE。 这样够狠吧 |
|
69
typcn 2014-11-13 11:32:28 +08:00 1
其实打出这样的流量完全是恶心你,随便去网上抓几万个代理,向这些代理发送打开XXX站点的请求,sleep上几秒然后把这个代理的连接断掉,一台几M带宽的机子就能打几百M。
|
|
70
extreme 2014-11-13 12:57:37 +08:00
为什么不采用验证码方式呢?
你确定是带宽被占满,而不是物理内存与CPU吗? |
 |
71
hyraxer 2014-11-13 12:59:50 +08:00
把域名指向到lofter.com做个页面就好了
|
|
74
typcn 2014-11-13 14:26:11 +08:00 1
@benjiam 不会的那些代理站,正则匹配前10页内容,起码有好几千,那些东西连接肯定慢,设定超时长一点,我一般测试都有90%可用的,你1%都不到是设置的IE代理吧?
|
|
76
benjiam 2014-11-13 15:57:07 +08:00
@typcn 能给个能搜索几千页的代理网站吗? 没看到几个能用的代理。 我用http 代理 很快就失败了。不是超时时间长短, 是根本连不上。爬虫希望用用
|
 |
77
Slienc7 2014-11-13 19:08:09 +08:00
|
|
78
typcn 2014-11-14 03:04:35 +08:00
@benjiam 以前玩贴吧爆吧,就用那些代理测试90%左右可用的,我记得还有个代理获取器里面内置了几十个网站,获取很简单,那些网站都是表格,正则匹配(\d+\.\d+\.\d+\.\d+)<看源代码中间内容>(\d+) 即可获取, 然后循环获取前10页,软件我现在没用那台电脑,找到了发给你。10页之后的基本就不能用了。
|
 |
79
raptor 2014-11-19 09:23:10 +08:00
我们公司的网站之前也碰到这种情况,我研究了一下日志,发现对方用了一堆IP,每个IP只使用一小时,只请求首页,我们首页连图片总共也就1M左右,30M带宽很容易就被占满。
后来服务商用加按钮的方法解决,但是公司方面不认可。 我建议他们改程序加IP记录并BLOCK,但是他们懒,最后把我们从阿里云迁出,租了独立服务器解决…… |
Select Language