V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
arischow
V2EX  ›  Linux

Linode VPS 持续被 inbound DoS,有何方法?

  •  
  •   arischow · 2015-09-03 20:43:20 +08:00 · 7160 次点击
    这是一个创建于 3369 天前的主题,其中的信息可能已经有所发展或是发生改变。
    已经持续了一天有余,每次客服恢复 VPS 马上又被打到停了,攻击方流量超大

    大概有二十多个网站都在这个服务器,也不知道现在有什么好办法?一个个地网站先关停然后再排除? Linode 那边说如果一直这样的话就要直接终止账号使用了,很急很急……

    PS: Linode那边意思是让我上CloudFlare,可是总不可能每个网站都上……难道这次要关站了?昨天到现在一直在弄这个,心烦,希望看帖的各位能够指导一下。不胜感激。
    45 条回复    2017-11-24 16:01:32 +08:00
    aivier
        1
    aivier  
       2015-09-03 21:02:06 +08:00
    临时买一个防 DDOS 的,反代过去
    bjdchwr
        2
    bjdchwr  
       2015-09-03 21:02:14 +08:00
    个人感觉,一般网站确实可以 CloudFlare ,可以帮你某种程度上抵抗一些攻击。

    我对客户的网站全用 Cloudflare ,即便在资源充足的情况下,毕竟可以隐藏 IP ,

    CF 就是反向代理。。。
    boro
        3
    boro  
       2015-09-03 21:07:08 +08:00
    Cloudflare +
    bobopu
        4
    bobopu  
       2015-09-03 21:07:14 +08:00 via iPhone
    那就全都上呗
    arischow
        5
    arischow  
    OP
       2015-09-03 21:15:56 +08:00
    @aivier
    谢,但是不懂具体如何操作……

    @bjdchwr @boro @bobopu
    谢,是这样的,网站分属不同的人,我也不知道是谁的站被攻击(只能确定不是我),我想着非亲非故,关系也不是铁到不能分开,如果能够找到谁出问题,就把他先踢走就好了,好让其他网站能够快速恢复。 Linode 说一直查不到,难道攻击者攻击的是 IP 本身?这个我不太懂……

    现在有一个 Linode 机房的备用 IP ,我可以 swap 过去,但不知道 swap 后要怎样才能躲过一直的 DoS 攻击,把 icmp 关掉让服务器看起来没开( ping 不通)行得通吗?

    CloudFlare 感觉麻烦的是有的人可能不愿意上,我也不能控制所有的人的域名……现在挺纳闷的:(
    ji1043
        6
    ji1043  
       2015-09-03 21:17:48 +08:00
    死道友不死贫道!!!!!
    disonlee
        7
    disonlee  
       2015-09-03 21:19:25 +08:00 via iPhone
    楼主简言之就是有钱上 cf 没钱拔网线吧。这个事情需要💰来解决。
    bullfrog
        8
    bullfrog  
       2015-09-03 21:28:22 +08:00
    二元搜索,第一次剩 10 个,第二次剩 5 个网站,第三次剩 2 个或者 3 个,第四次然后差不多就找出来是哪个网站了
    arischow
        9
    arischow  
    OP
       2015-09-03 21:29:18 +08:00
    @bullfrog 然而留给我的机会不多了, Linode 那边觉得老这样就干脆终止账号了。。
    kslr
        10
    kslr  
       2015-09-03 21:32:04 +08:00
    @arischow 一般来说都是根据 IP 吧,使用域名还要处理 DNS 性能,这时候 T 掉某个罪人已经没用了。

    CF 需要切换 DNS
    换 IP 要更新所有 DNS
    arischow
        11
    arischow  
    OP
       2015-09-03 21:44:12 +08:00
    @kslr VPS 被下线之前我看到的攻击应该是 1-5Gbps 的级别,这得上多贵的 CF 才挡得住……?
    kslr
        12
    kslr  
       2015-09-03 21:45:40 +08:00
    @arischow 没有了,阿里云免费都送 5G 了, CF 免费版都凑合了
    arischow
        13
    arischow  
    OP
       2015-09-03 21:47:05 +08:00
    @kslr 还有一点疑惑和不明白原理,如果直接上 CF 而不更换 IP ,攻击者还是直接对付 IP 而非域名的,那服务器一样要被强制下线?现在很困惑如何应付 Linode 那边,毕竟要是账号被终止使用很严重
    lilydjwg
        14
    lilydjwg  
       2015-09-03 21:52:27 +08:00
    @arischow 换 CloudFlare 的体验非常好的,网络没问题的话几分钟内就能搞定。
    kslr
        15
    kslr  
       2015-09-03 21:52:53 +08:00
    @arischow 使用 linode 的克隆换一个的机器,这样就没了目标,为了防止接下来可能的再次攻击,上 CF 来挡。
    arischow
        16
    arischow  
    OP
       2015-09-03 21:58:19 +08:00
    @lilydjwg 主要是很困惑,不知道我们哪儿中出了个叛徒,而且有些人实在像大爷那样不好搞,要是不肯改,送神难呐……

    我自己的域名上完 CloudFlare 还是挂的话, Linode 方面还是没法交代。。
    187j3x1
        17
    187j3x1  
       2015-09-03 21:59:50 +08:00
    上 cf 哪会不换 ip 去搜 cdn 原理 不上 cf 就全部改解析 再买个垃圾年付 逐个 a 过去查出来
    lilydjwg
        18
    lilydjwg  
       2015-09-03 22:01:02 +08:00
    @arischow 那你二分法改解析试试?每次把一半网站的域名解析到 127.0.0.1 ,逐个排除。一般的攻击应该是会追着你的域名解析的吧……
    arischow
        19
    arischow  
    OP
       2015-09-03 22:02:32 +08:00
    @187j3x1 不不不,我的意思是,我服务器 IP 的“换”( Linode 那边我有个备用 IP 可以调用,那个 IP 是正常的,只有 Shadowsocks 服务)
    zyqf
        20
    zyqf  
       2015-09-03 22:28:34 +08:00
    @arischow 域名解析交给 CloudFlare,上 cdn.这样的话攻击者攻击的应该只是 CloudFlare 的节点,而不是你的服务器
    arischow
        21
    arischow  
    OP
       2015-09-03 22:31:22 +08:00
    @zyqf 这个我懂,我的意思是攻击者可以跳过域名直接打击服务器 IP 么……
    也不知道谁和我那么大仇
    kslr
        22
    kslr  
       2015-09-03 22:32:03 +08:00
    @lilydjwg DDOS 的话,不会使用域名吧,毕竟 DNS 也会有性能消耗。
    lilydjwg
        23
    lilydjwg  
       2015-09-03 22:35:07 +08:00
    @kslr 可如果完全不用域名的话,那你换个 IP 不就逃过了么?
    kslr
        24
    kslr  
       2015-09-03 22:37:51 +08:00
    @lilydjwg t/218132 有建议吗
    kslr
        25
    kslr  
       2015-09-03 22:38:11 +08:00
    owlsec
        26
    owlsec  
       2015-09-03 23:33:20 +08:00
    虽然很讨厌 360 这个傻逼公司但是还是建议你使用一下 http://wangzhan.360.cn/
    如果你不用这个建议你先所有域名转到 CF ,注意是所有域名。。。然后再把备用 ip 切过来,那个 ip 你可以放着了。。。毕竟 CF 可以隐藏 IP 。。。。。
    msg7086
        27
    msg7086  
       2015-09-03 23:47:59 +08:00
    首先,反代本身是可以走 ipv6 的。你 ipv4 不用开都无所谓(当然如果你要发邮件什么的还是得开着

    买个 ramnode 或者 buyvm 的 ddos 保护的 IP ,然后开个 nginx 做 http 或者 tcp 反代到 linode 上就好了。

    这么简单的事情你总会的吧?
    arischow
        28
    arischow  
    OP
       2015-09-04 09:41:57 +08:00
    -_- 醒来被 Linode 恢复了, 5 分钟前又被打停,宽带占用爆了,负载并没有暴涨。。
    thinkxen
        29
    thinkxen  
       2015-09-04 10:26:24 +08:00 via Android
    论网站独立 ip 的重要性,谁被打一目了然。
    bjdchwr
        30
    bjdchwr  
       2015-09-04 11:12:11 +08:00
    @thinkxen

    从我现在的情况来看,我在日常确实是一个客户一个 VM ,当然钱是客户出,我只管维护这一部分。
    在此基础上,所有网站都上 CF ,无论服务器负载如何,这样还能有免费的统计功能。

    @arischow
    客户喜不喜欢用 CF 是客户的权利,但在这种情况下,全部转到 CF 还是比全都关停强一些。免费版一般就可以了。
    xddxdd
        31
    xddxdd  
       2015-09-04 11:22:54 +08:00
    @arischow 先把所有网站停了,告诉他们服务器被攻击必须上 cdn ,不同意的退钱退数据,上了 cdn 的接着用
    aksoft
        32
    aksoft  
       2015-09-04 12:04:12 +08:00 via iPhone
    现在免费的防 d   do   s 都是吹牛逼 耍流氓 ,我公司网站被 ddos 后各种都试过 ,除了硬防。
    最后淘宝买了一个高防 dns..
    360 和百度的网站防护说是防多少 g 的 ,我被打 1g 的时候就挂了
    arischow
        33
    arischow  
    OP
       2015-09-04 12:17:10 +08:00
    Linode 方面回复: The attack hit the IP address, not a domain.

    换了 IP 也总会有暴露 IP 的可能性呐……
    aivier
        34
    aivier  
       2015-09-04 17:06:42 +08:00
    就不能查查么,网上一堆反代教程,买个美国高防 VPS ,不贵,统一换新 IP ,让他往死里打一_一|
    realpg
        35
    realpg  
       2015-09-04 17:34:13 +08:00
    都什么年代了,还买个 VPS 开虚拟主机玩?
    开一个网站一个独立的 linode 的钱都不想花,像话么?一个月才多点钱。
    arischow
        36
    arischow  
    OP
       2015-09-04 17:37:58 +08:00
    @aivier 我研究研究,谢鸟


    @realpg ……大人教训的是……
    usernametoolong
        37
    usernametoolong  
       2015-09-04 18:24:23 +08:00
    被 UDP 打到 IP nullroute 了, 在 linode 上克隆下系统重新开一个。
    如果有网站服务就再把域名换到 CloudFlare 上,一般 10Gbps 以下的免费版就能扛。
    arischow
        38
    arischow  
    OP
       2015-09-04 18:33:36 +08:00
    @usernametoolong 我看 CloudFlare 的介绍,免费版好像没 DDoS protection ?
    usernametoolong
        39
    usernametoolong  
       2015-09-04 22:44:50 +08:00
    @arischow 实测是有小量防护的,如果要个保险可以买 20 刀的,然后每增加一个域名只要 5 刀。

    免费版的遇上大流量 UDP 会直接回源,这个需要注意。
    arischow
        40
    arischow  
    OP
       2015-09-05 00:11:11 +08:00
    @usernametoolong 谢,其实我也只是这两天恶补了下,鉴于官方说法被打的是 IP ,而用 IP 又不能执行 PHP 脚本,所以应该不是 TCP 而是 UDP ( CPU/内存也没灌满)?
    hack520
        41
    hack520  
       2015-09-05 01:44:55 +08:00
    @arischow 肯定是 IP 了,他們也只能偵測到某個 VPS ip 遭遇多少流量攻擊,建議換 IP 然後上 CF 20 刀套餐防護。不願意上 CF 的網站那沒辦法.............
    abc123ccc
        42
    abc123ccc  
       2015-09-05 09:28:02 +08:00
    如果把 DNS 解析到百度的 IP 上会怎样????
    link02
        43
    link02  
       2017-10-30 23:10:33 +08:00 via iPhone
    傻傻看不懂,一脸懵逼,但你真的好可爱
    link02
        44
    link02  
       2017-11-24 16:00:34 +08:00 via iPhone
    能不能快点把东西给我啊,这是个啥我不会玩,你快点把东西寄给我吧
    link02
        45
    link02  
       2017-11-24 16:01:32 +08:00 via iPhone
    能不能快点把东西给我啊,这是个啥我不会玩,你快点把东西寄给我吧,我不知道怎么找你,就在这里找你了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2734 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:12 · PVG 19:12 · LAX 03:12 · JFK 06:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.