有软件层面扛 dos 的方案么？ - V2EX

Home Sign Up Sign In

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

This topic created in 4130 days ago, the information mentioned may be changed or developed.

RT，流量没满，CPU被占满挂了，抓包分析似乎是TCP PSH+ACK攻击。简单的fail2ban好像不能处理这个，有其他现成方案么？（能自动化的，被攻击死机了没法手动操作）

18 replies • 2015-02-06 13:45:08 +08:00

1

oojiayu

Jan 20, 2015

你说的应该是DDOS 不是DOS ~
DDOS 以及CC的攻击都是需要硬件防护的~
如果你的服务器是独立主机，那么你要判定攻击者是攻击的你的网站还是服务器~
如果是网站，你可以选择使用安全狗服务~ 或者CDN~
如果是独立服务器被攻击，那么你可以选择更换IP地址~
不过貌似你的情况比较严重~
问问谷歌看看吧~

2

twl007

Jan 20, 2015 via Android

mod-security 开源的一个WAF模块不过实际部署的话规则调整会比较麻烦目前官网给出收费及免费两种规则库依据个人需要选吧

3

bobopu

Jan 20, 2015 via iPhone

流量没满cpu满了，这是cc啊，换ip后上cdn

4

youyoumarco

Jan 20, 2015

换CDN，很早以前找过运营商协助解决，现在呵呵了

5

xoxo

Jan 20, 2015

自己写防CC规则

演示: https://www.sslcertificate.cn/admin/login/
攻击脚本:
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=1';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=2';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=3';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=4';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=5';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=6';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=7';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=8';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=9';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=10';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=11';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=12';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=13';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=14';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=15';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=16';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=17';
....

6

vwhenx2

Jan 20, 2015

没有，说完了

7

thinkxen

Jan 20, 2015 via Android

试试csf这个软件防火墙吧

8

ryd994

Jan 20, 2015 via Android

iptables 限制并发，限制syn频率，限制psh频率，如果过高就加conntrak或者写log，ban ip
应用里限制请求频率
再不行就上cdn，但是cdn遇到大规模顶不住也会回源

9

Jarett

Jan 20, 2015

如果本身就是动态的接口被刷了，用CDN是没有用的，因为动态内容CDN还是要回源获取的，比如各种查询搜索等。建议找找对方刷的是哪个接口，如果自己找不出，或者用网站卫士安全宝之类的看看能否分析出来，比流量攻击好处理。

10

ryd994

Jan 20, 2015 via Android

@xoxo 这为什么防CC？
@twl007 你这是应用层的，根本不是一回事

11

xoxo

Jan 20, 2015

@ryd994
用了几个模块, 顺便改了下NGINX一些底层, 实现了这个功能

12

ryd994

Jan 20, 2015 via Android

@Jarett 有用，因为这是针对TCP协议的攻击，cdn对动态内容相当于反代，足够了。

13

ryd994

Jan 20, 2015 via Android

@xoxo 这是针对TCP协议的攻击，nginx模块有什么用，內核模块还可以说说

14

xoxo

Jan 20, 2015

@ryd994 那就只能硬防了

15

tanywei

Jan 20, 2015

上CDN永远是最省事的。

16

gamexg

Jan 21, 2015

TCP PSH+ACK 的话上CDN完全可以防的.

17

Jarett

Jan 21, 2015

@ryd994 哦，之前以为楼主是被cc，我说的是cc。

18

k88k88k88k88sx

Feb 6, 2015

@xoxo 能否请教一下是你是用了哪些模块实现的？大概指点下我自己研究研究~

About · Help · Advertise · Blog · API · FAQ · Solana · 6245 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 86ms · UTC 06:15 · PVG 14:15 · LAX 23:15 · JFK 02:15
♥ Do have faith in what you're doing.