每小时 100W+的请求量，该怎么向黑产大哥们求饶啊？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 1021 天前的主题，其中的信息可能已经有所发展或是发生改变。

我一个个人博客小破站，应该也没得罪谁，最近突然发现每小时接近 100 万的请求量，我还以为是我突然出名了，结果掏出 Nginx 日志一看，100 万请求中有 100 万都是 404 ，请求路径全部都是

wp/admin.php

think-php/exec.php

phpmyadmin/index.php

这类似的。

我知道大哥们在尝试扫我网站的漏掉，可我网站也没这些东西呀，每小时 100 万的请求，直接把我日志服务打挂了。想来问问，哪里可以向黑产大佬求饶不，我扛不住了

目前尝试办法：

1 、封 ip ，可是从日志上面看，大哥们是各种 ip 换着来，我也不知道大哥们有多少 ip

2 、根据 url 路径封，可是大哥们扫了几万个页面 URL ，这比我本身页面还多

第 1 条附言 · 2022-01-25 10:32:54 +08:00

我突然想到个损招，结合 27 楼和 59 楼大哥的思路，我决定往部分规则的 URL 里面投 GZIP 炸弹，哈哈哈

第 2 条附言 · 2022-01-25 17:43:03 +08:00

炸弹部署完毕，后续看看黑产大哥们反应如何，哈哈哈
https://www.jinnrry.com/2022/01/25/GzipBomb/

大哥

请求

日志

求饶

111 条回复 • 2022-02-20 12:37:22 +08:00

1 2

❮

❯

wellsc

2022-01-24 15:26:20 +08:00

可以融资了

xarthur

2022-01-24 15:27:06 +08:00

cloudflare

chihiro2014

2022-01-24 15:28:35 +08:00

cloudflare ，或者你限制每个 ip 的每分钟的请求次数

Maxbee

2022-01-24 15:29:32 +08:00

话说能不能加上广告 /doge

mywaiting

2022-01-24 15:29:48 +08:00

cloudflare 五秒盾，抵御这种无技术含量的 cc ，毫无压力啊

leogm9408leo

2022-01-24 15:30:22 +08:00

恭喜，可以融资了

lithiumii

2022-01-24 15:32:38 +08:00

分析一下日志，把高频页面跳转到 gov 网站
然后你就会被请喝茶了（

jiangwei2222

2022-01-24 15:32:51 +08:00

@xarthur #2
@chihiro2014 #3
@mywaiting #5 套 cf 国内太慢了，体验不太舒服

johopig

2022-01-24 15:33:35 +08:00

@leogm9408leo 老铁，这是什么梗呀

leogm9408leo

2022-01-24 15:38:05 +08:00

@johopig 您个人网站一个小时百万流量，这完爆各路大 V ，随便变个现就发财了

ch2

2022-01-24 15:45:36 +08:00 via iPhone

把日志服务先关了，正好测测你自己抗不扛得住

charliecaptain

2022-01-24 15:47:30 +08:00

加上这些网站，然后都加广告，赚大了

pelloz

2022-01-24 15:48:36 +08:00

扫漏洞代价很低也是有代价的，别人花这么大流量扫你估计是因为你网站的某些特征满足了被扫的条件。你不想硬刚，就只能从自己身上找点原因....我估计，你的小站是 php 写的？是不是返回的 http 头包含了什么 server 信息，满足了包含漏洞的啥版本，或者你真的有啥 admin.php 之类的入口返回的不是 404 。总之，你别人脚本觉得你可能有漏洞比较好，不需要暴露的信息一点点都不要暴露。

leipengcheng

2022-01-24 15:49:47 +08:00

把服务器关一个月

jiangwei2222

2022-01-24 15:54:02 +08:00

@pelloz #13 http 头只有 nginx 版本信息，有一个管理页面是指定到 admin.xxxx.com 域名下面的

mahone3297

2022-01-24 15:57:53 +08:00

不在乎，省钱，关机
在乎，费钱，上 waf

crab

2022-01-24 16:00:30 +08:00

把 404 不存在页面重定向随机某个存在的页面，这样扫个球。

CodeCodeStudy

2022-01-24 16:02:42 +08:00

把域名解析到别的 IP

bruce0

2022-01-24 16:02:42 +08:00

上广告可还行 /dog

zhifSu

2022-01-24 16:03:45 +08:00

改端口

coolmenu

2022-01-24 16:04:03 +08:00

404 页面弹出个人简历呀！

Leonard

2022-01-24 16:05:04 +08:00

哈哈哈哈给这些页面上广告

liuidetmks

2022-01-24 16:11:58 +08:00

404 重定向到 https://zh.wikipedia.org/wiki/Special:%E9%9A%8F%E6%9C%BA%E9%A1%B5%E9%9D%A2
百科随机条目

someonedeng

2022-01-24 16:12:43 +08:00

把日志关了，反正这种日志没啥用

mazyi

2022-01-24 16:16:08 +08:00

上广告真是一条不错的路子呀

zoharSoul

2022-01-24 16:58:09 +08:00

200+的 qps, 我可以硬抗 /狗头

orm

2022-01-24 17:03:14 +08:00 via iPhone

gzip 炸弹 http://da.dadaaierer.com/?p=577

Itoktsnhc

2022-01-24 17:10:10 +08:00

报警？

sadfQED2

2022-01-24 17:19:27 +08:00 via Android

@Itoktsnhc 这玩意还能报警？警察能懂这玩意？

lilihangzhou

2022-01-24 17:58:28 +08:00

广告搞起来，这可都是流量啊，[手动狗头]

ijustdo

2022-01-24 18:19:26 +08:00

上白名单，存在的需要对外的 url 才能访问，其它一律 403, 然后加上 ip 请求次数限制

maxat20xx

2022-01-24 18:22:48 +08:00 via Android

上广告的都是人才…

shyrock

2022-01-24 18:25:59 +08:00

@orm #27 看说明 gzip 炸弹是针对浏览器的。。。这漏洞扫描程序应该不会像真的浏览器一样解压缩 gzip 吧。。。

xiaoding

2022-01-24 18:28:10 +08:00

可能你的网站的 ip 段正好是一个易被攻击的段。
封 url 和 ip 都可以解决的，ip 的话代理 ip 和秒拨 ip 都是有限的，url 的话自己可以找个安全扫描的字典，把字典里面的 url 拉黑

WordTian

2022-01-24 18:34:30 +08:00 via Android

@shyrock 会解的，指着解析响应体确认漏洞呢

yancy0l

2022-01-24 18:35:44 +08:00

这个上广告，估计无效吧，随机的页面访问，访问不到广告页，肯定是无效访问占 90%以上，而且，估计广告的模式，也有统计时长的设计，是不是 DDos 随便搞就行的。要不大家都发了

FrankAdler

2022-01-24 19:21:43 +08:00

可以针对 404 的不写日志

phpnote

2022-01-24 19:22:02 +08:00

@yancy0l 这个简单, 没命中路由的请求直接转到广告页就行了

bmpidev2019

2022-01-24 19:52:05 +08:00 via iPhone

上 cloudflare 吧

wanguorui123

2022-01-24 20:25:36 +08:00

没被 DDos 过

felixcode

2022-01-24 20:40:12 +08:00

https://www.abuseipdb.com/
找几个类似网站报一下吧，既然解决不了，也不让对方舒坦。

aru

2022-01-24 20:44:33 +08:00

fail2ban 写个自定义规则自动封 IP 就行了

liuxu

2022-01-24 20:48:41 +08:00

1000000/3600=277 ，问题不大，随便一个小服务器就能抗，fail2ban 确实可以抗，cf 减速云

jeeyong

2022-01-24 20:55:06 +08:00

无解...
我现在能调动的 IP 都大几百万个...
黑产大哥可能都更牛逼...

jackzhengjbs

2022-01-24 21:00:20 +08:00 via Android

@jeeyong 怎么抓的肉鸡啊？可以分享下嘛

jeeyong

2022-01-24 21:02:55 +08:00

@jackzhengjbs 我不抓肉鸡啊...

lower

2022-01-24 21:04:45 +08:00

@phpnote 现在广告商的统计系统应该也没那么傻，应该能精确识别是不是有效点击行为来的吧

Huozy

2022-01-24 22:05:09 +08:00

@sadfQED2 #29 你好，特殊专职(网络安全技术)警察

datocp

2022-01-24 22:16:41 +08:00 via Android

如果带有扫端口就好办了，搜索一下 iptables recent hacker 。
其它的可以尝试用 quota 。这些就要熟悉相关命令用 shell 处理了。

iBaoger

2022-01-24 22:21:49 +08:00 via Android

试试开源的 fail2ban

CallMeReznov

2022-01-24 22:27:38 +08:00

@Leonard #22
@lilihangzhou #30
@yancy0l #36
@lower #47

这种访问行为无效是肯定的不用说
拿 AD 去怼 CC,自己的 AD 账户估计分分钟封号.

laoyur

2022-01-24 22:47:28 +08:00

说上广告的把我逗笑了
连正经访问都可能被鸡贼到扣量一麻麻，更何况这种异常流量？

v2eb

2022-01-24 23:09:16 +08:00

上家公司遇到过，转到澳门威尼斯

shayuvpn0001

2022-01-24 23:15:17 +08:00

hw 的本还是先把 WPBT 解决了再说吧。。。

参考： https://www.zhihu.com/question/390155205/answer/1182942387
https://www.zhihu.com/question/390365275

PS：商务本是各家必争之地，每家都还有细分的：

DELL - 入门商务 Vostro ，进阶 Inspiron ，高级 Latitude ，顶级 XPS/Precision
联想 - 入门 Yoga/ThinkBook/Thinkpad L14 ，进阶 Thinkpad T14/T14s ，高级 T15p ，顶级 Thinkpad X1 Carbon / X1 Extreme / P1 / P15 / P17
HP - 入门 Pavilion ，进阶 Probook/Zhan66 ，高级 EliteBook ，顶级 ZBook / ZBook Studio / ZBook

patx

2022-01-24 23:19:29 +08:00

设置 url 白名单，白名单外的 url 返回敏感词随机文本

MacDows

2022-01-24 23:19:46 +08:00 via Android

@shayuvpn0001 你走错了

galikeoy

2022-01-24 23:26:04 +08:00

@shayuvpn0001 #54 哥们走错贴了😂

shayuvpn0001

2022-01-24 23:26:26 +08:00

@MacDows 是的，又没办法删，贼尴尬。。。

eason1874

2022-01-24 23:52:33 +08:00

机器人扫描的，没多少流量，而且是有规律的，写几条规则屏蔽就行了。比如

location ~ ^/(wp|think-php|phpmyadmin)/.*\.php$ {
access_log off;
log_not_found off;
return 444;
}

444 状态码表示不返回内容就直接断开连接，省流量。如果你的博客用到这些路径，那你就配置重写，放到子目录

notgoda

2022-01-25 00:35:18 +08:00 via iPhone

@eason1874
@eason1874 大佬，请问这个直接加到 nginx 的 config 配置文件中就可以吗？

majula

2022-01-25 00:37:47 +08:00 via iPhone

说接入广告的，是不了解广告平台的规则吧。。

这种是会被判定为恶意刷点击，被广告平台封号的

ezrameow

2022-01-25 00:46:09 +08:00

@Leonard Google Adword 反作弊会把你封了的...（

eason1874

2022-01-25 01:03:53 +08:00

@notgoda #60 对。但是我这个匹配规则是根据楼主提供的例子写的，要使用，还得根据自己的网站需求和日志去写。这些机器人扫描的是开源 CMS 文件路径和常见的备份文件名 sql 和 zip ，路径都是有规律的，看日志总结规律写进匹配规则就行了

PolarBears

2022-01-25 01:22:01 +08:00

直接限制请求频率吧

xy90321

2022-01-25 01:31:01 +08:00 via iPhone

@orm 学到了…

xuanbg

2022-01-25 08:02:05 +08:00

看标题还以为是被 ddos 了。点进来一看，好家伙，这不是脚本扫描嘛，简直正常得不得了，无视即可。

winglight2016

2022-01-25 08:09:59 +08:00

在 404 页面放上管理员密码，再写一句，求大佬放过，或者把 404 之间转到管理登录页面，告诉他真正的目标，就不会疯狂乱扫了

YaakovZiv

2022-01-25 09:09:08 +08:00

我第一个想到就是部署蜜罐产品，让对方沉浸在在入侵成功的喜悦中，可以安静很多天。

zturns

2022-01-25 09:15:47 +08:00 via Android

我的 wordpress 站是被人暴力破解，安装了 wordfence 遇到攻击就屏蔽了

byte10

2022-01-25 09:21:52 +08:00

@maxat20xx 我也是好奇，笑死我了😂。我想半天，别人不都是 http 客户端请求过来了嘛，跟广告有毛关系啊。我还以为我自己傻了，还好你出现，说明我还没傻。。。差点被评论整懵了。

noahzh

2022-01-25 10:15:01 +08:00

所有 404 都跳转到广告页.

NeoZephyr

2022-01-25 10:19:00 +08:00

@lithiumii 坏

jiangwei2222

2022-01-25 10:29:59 +08:00

@eason1874 #59 好办法，多谢提醒

justest123

2022-01-25 10:55:26 +08:00

说上广告的学会了！

libook

2022-01-25 11:17:01 +08:00

看路径很显然是自动扫描漏洞的机器人，这种都是用云厂商的 IP 段，按照常见的漏洞库无差别扫的，扫到漏洞就会有黑产来拿肉鸡或者勒索。

封 IP 没用的，因为都是用代理池，成千上万个 IP ，而且可以做到喷洒攻击，每个 IP 频率跟正常用户差别不大，但顶不住 IP 量大。

要想简单粗暴就上 WAF 或人机验证，有些产品是有代理池 IP 库的，可以识别来的 IP 是不是机器人的代理，然后自动限制。