这是一个创建于 2280 天前的主题,其中的信息可能已经有所发展或是发生改变。
机器在香港,未备案,从上周末开始,一直持续被大规模攻击,目前使用的是 cloudflare 解析,能抵御部分攻击,但是攻击量大的时候还是无法抵御,导致服务器 CPU 内存全部被占满。
服务器是 nginx,设置了各种防护,也开启了宝塔防火墙,禁止国外 IP 等等,都没有太大的用处。
现在在 cloudflare 上开启了 CDN 和挑战页,但是这样下去,网站经常打不开,排名也快掉完了。
咨询了几家国内的做 CDN 的,据说都是无视一切 CC 攻击,但是要价一个月 5K-5W 不等。
请问是否有什么其他的解决方案呢?谢谢各位了!
89 条回复 2021-09-04 21:26:30 +08:00
 | 1 cst4you 2019-09-20 09:28:31 +08:00 nginx cookie |
 | 2 frozenway 2019-09-20 09:33:51 +08:00 CC 攻击基本都有特征,直接封就是了 |
 | 3 ivmm 2019-09-20 09:40:49 +08:00 阿里云的 WAF,按量,不过容易产生添加账单。 如果包月个一月其实价格也还好 |
 | 4 Robias OP @frozenway 我已经开启了禁止国外 IP 访问,但是还是能够有大量的国外 IP 来进行攻击,宝塔设置了规则,自动封禁,IP 太多了,封不完 |
 | 7 DonnyChao 2019-09-20 09:42:51 +08:00 via Android DNS 把国外访问解析给 8.8.8.8 ? 国内访问保持正常解析。 |
| 8 Robias OP @DonnyChao 这个好像还真不行,CF 不支持设置区域,上周日晚攻击实在太大(每小时 2TB 左右),我把所有的解析都解析到了 8.8.8.8,攻击确实停了一会儿,但是这样网站也无法打开,过了一段时间解析换回来后,又开始攻击。 |
| 11 frozenway 2019-09-20 09:54:42 +08:00 封 IP 是错误的做法,封不完。封 useragent |
 | 12 tqyq88 2019-09-20 09:57:03 +08:00 好奇,请问你是什么站,为啥被盯上 |
 | 13 xiaoyangsa 2019-09-20 10:07:53 +08:00 这个 lz 该用的都用了,只能砸钱了嘛。。 |
| 14 xiaoyangsa 2019-09-20 10:09:00 +08:00 @xiaoyangsa 这里先确认下是不是服务器 ip 漏了,可以换个服务器直接用 cloudflare 再试下 |
 | 15 taotaodaddy 2019-09-20 10:13:01 +08:00 via Android 战略性马克 |
 | 16 zqyisasd 2019-09-20 10:22:56 +08:00 不知道 奇安信网站卫士 和 知道创宇 能满足需求吗 |
| 17 Robias OP @xiaoyangsa 没有,攻击的目标是域名,最早是 index.php ,后来我把这个文件改名了,然后停了一段时间,在之后就开始攻击首页。CF 里换了解析 IP,就没事了。 |
 | 18 laminux29 2019-09-20 10:26:53 +08:00  12 网站攻击的本质,是攻击者以 n 的代价,让防御者付出 m 的代价。其中 m 远大于 n,m 甚至比 n 大几个数量级。通俗来说,就是攻击者付出 1 元钱,防御者需要付出 10 元甚至百元。 大公司一般的防御做法是: 1.核心机房买高端防御设备。 2.在各地做好 cdn。 3.一旦有来自某个地域的攻击,就给当地的流量阈值下调,这样系统就不会因为来自一个地域的攻击而崩溃。 4.如果有同时来自不同地域攻击,这种基本上是大黑客或大公司所为,国内报网警。 小公司或个人来做防御,基本没辙。就算买了云服务,耗费的资金不会低,而且防御效果还不好。 楼主这种情况,如果是我遇到,我会做两手措施: 1.设计一套基于邮件的业务流,在这种断网的特殊情况下,业务全走邮件。这种方案的本质是把防御成本转嫁给邮件服务提供商,我方付出的资金成本会非常小,最多就只需要买一个收费 vip 邮箱就行了。 2.屏蔽所有国外 IP,屏蔽时间以 1 小时递增。比如,屏蔽 1 小时,无效就屏蔽 2 小时,再无效就屏蔽 3 小时.... |
 | 19 utfqvfhpyygy 2019-09-20 10:32:06 +08:00 攻击固定地址,那先直接封掉这个地址,对你全站影响不大吧? 或者直接改成静态内容。他更换目标地址也麻烦把 |
| 20 utfqvfhpyygy 2019-09-20 10:35:50 +08:00 @Robias 能加 v 聊下吗?我对你这个问题很感兴趣 |
| 21 Robias OP @utfqvfhpyygy 他之前攻击 Index.php 这个文件,我把这个改掉之后,他停止了大约 5 个小时,估计是找不到方向了。但是这之后,就开始攻击域名了,也就是 www.aaa.com 了,不再攻击某个文件了。 |
| 22 Robias OP @laminux29 老哥,我这个站还真没法走邮件,而且您说的第二个屏蔽国外 IP 这个,我都已经屏蔽,并且封禁是一个月,但是对方应该是用代理 IP,总是有源源不断的国外+国内 IP,封不完啊。现在就两条路,要么花费高价钱买高防 CDN,要么关站。 |
| 23 utfqvfhpyygy 2019-09-20 10:49:48 +08:00 攻击域名,会造成域名解析问题,还是攻击你 nginx 的默认文件?请求有没有什么信息可以分析的? |
| 24 Robias OP |
 | 25 mywaiting 2019-09-20 10:53:23 +08:00 DDoS 都是堆钱的活 2TB 不是特别大的量,静态化吧,开多几台 nginx 在前端缓存,启用 nginx testcookie,cf CDN proxy 同时设置 CNAME 多个后端,抗下来不是大问题 精细化的 CC,其实没法防御的,特别是手里有大量小鸡的黑阔,打铁还需自身硬啊 |
| 26 Robias OP |
| 28 utfqvfhpyygy 2019-09-20 10:56:05 +08:00 @Robias 那就是访问你服务器的默认首页文件,这个文件是 php 还是静态文件? |
| 29 utfqvfhpyygy 2019-09-20 10:57:07 +08:00 改一下 nginx 的配置就可以,你可以贴一下配置 expires 90d; |
 | 30 Xusually 2019-09-20 10:57:19 +08:00 1、分析日志,根据 User-Agent 封禁。 2、Nginx cookie,设定 ip 相关 cookie,校验不通过拒绝或者跳转。 3、检查 ip 规则,忽略一些 x-forwarded-for 之类的代理 ip 穿透。 4、不管怎样,源站 ip 可以多换几次。 5、还是多分析日志吧。多少有规律的。 |
| 31 utfqvfhpyygy 2019-09-20 10:58:09 +08:00 静态文件也有带宽问题,你先找出访问的是哪个文件,再优化文件 |
 | 33 love 2019-09-20 11:05:15 +08:00 9 解析到国务院 ip 来个同归于尽 :) |
 | 34 kooze 2019-09-20 11:09:32 +08:00 大哥,撞衫了。 |
 | 35 gam2046 2019-09-20 11:17:09 +08:00 用了 CF,那源站直接拒绝除了 CF 以外的所有请求就可以了。 https://www.cloudflare.com/ips/ 并且可以开启 SSL 双向验证,验证客户端不是 CF 也一律拒绝。 https://support.cloudflare.com/hc/zh-cn/articles/204899617 |
 | 36 lifeintools 2019-09-20 11:17:37 +08:00 @love 真这样做了 会怎么样。。。 |
| 37 love 2019-09-20 11:19:30 +08:00 @lifeintools 对方能不能抓到另说,你大概率跑不了 |
| 38 Robias OP @utfqvfhpyygy 默认文件是 index.html |
 | 39 ArcticL 2019-09-20 11:25:20 +08:00 CC 攻击规模较大的情况下是比较难办的,哪怕你做了限频,在请求聚类的这段时间只要量大一样能打挂你。如果网站是纯静态的上 CDN 就完了。 |
 | 41 intouchables 2019-09-20 11:43:35 +08:00 via Android 5 |
| 42 laminux29 2019-09-20 11:54:16 +08:00 @Robias 那就国外全封,国内报网警。 |
 | 43 40huo 2019-09-20 12:01:29 +08:00 1 五秒盾 |
 | 44 PbCopy111 2019-09-20 12:06:39 +08:00 @intouchables #41 就喜欢这种小说,真棒! |
| 45 Robias OP |
 | 46 yytsjq 2019-09-20 12:13:46 +08:00 利用 CF 的 Page Rules,把特征流量转发到黑洞 |
 | 47 xyooyx 2019-09-20 12:20:43 +08:00 你有没有想过某一个回复就是攻击者,哈哈哈 |
| 48 Robias OP @yytsjq page rules?我设置了 firewall rules 和 User Agent Rules,请问 page rules 是什么意思? |
| 49 yytsjq 2019-09-20 13:10:59 +08:00 1 |
 | 50 Devilker 2019-09-20 13:18:18 +08:00 哈哈哈哈哈哈哈哈哈 这事儿好办 就看你的域名重要不重要 不重要的话,低价买个备案的域名 去国内高防服务器买个宿迁 苏州 地区的 一个月 800 左右就搞定了。 |
| 51 Devilker 2019-09-20 13:27:30 +08:00 顺便说句 改 INDEX.PHP 没啥用 因为 你的新闻目录 也有 PHP 文件 皮肤文件夹,分类文件夹,DATA 文件夹,等分目录多多少少都会有 PHP 文件 用 PHP 嗅探器一扫,就出来了,照样可以用 CC 攻击 攻击你其他的 PHP 文件造成 CPU 100% 挂机 买高防服务器 但便宜的国内高防都需要域名备案的,所以上面问你域名对你重要与否。 你的站是什么站,对方有没有跟你提过什么要求? 我朋友系列,曾经有个朋友是搞这方面的,遇到两个菠菜站对打,一天 2 万美金互打,还有一些私人游戏的业务,经常会遇到这类。 |
 | 52 samwalt 2019-09-20 13:50:45 +08:00 战略性 马克 |
 | 53 Phant0m 2019-09-20 14:16:31 +08:00 via iPhone 宝塔封锁国外 ip 效率低吧?用 nginx geo 模块,直接根据 ip 归属地禁封会好一点。 |
 | 54 mineqiqi 2019-09-20 14:35:16 +08:00 好刺激的帖子,看大佬的解答 |
 | 55 justs0o 2019-09-20 14:50:37 +08:00 买几台高配的主机,装 CDNFLY,成本还可以 |
 | 56 guozonggui 2019-09-20 14:52:28 +08:00 嗯。。。我们可以做抗 CC。不过就像你说的那样收费的范围。 |
| 57 Robias OP @frozenway 老哥,封 user agent 的话,会不会误封?比如某个人用的浏览器正好和我封的这个一致怎么办。 |
| 58 Robias OP |
| 59 frozenway 2019-09-20 14:59:35 +08:00 1 @ #57 宁杀错不放过 |
| 61 xiaoyangsa 2019-09-20 15:05:47 +08:00 @Devilker 这样要是原域名直接通过域名解析到后面这个高防域名也 ok 吧....国内的高防我遇到过会被 dianxin 直接封额。 |
 | 62 newworld 2019-09-20 15:35:35 +08:00 @laminux29 #18 根据楼主网站是面向国内客户,就直接白名单机制,只允许国内访问,屏蔽国外,IP 段太多了。。。 同时 CF 做规则,只允许访问静态的资源,和必要的动态资源,比如登录注册这些,禁止直接访问其他非必要 php 文件,暂时关闭网站搜索功能,这些需要用到大量查询 IO 交互的操作。当然啦,最好就是上高防,大宽带机器,全部 CDN,更换主机 IP,只允许 CDNIP 段访问和管理 IP 访问,其余的全部拒绝,这样防御 CC 基本没啥大问题,DDOS 就另说,暂时是个世界性难题。 |
 | 63 huangzxx 2019-09-20 15:42:13 +08:00 nginx + ip2location 直接根据地区 deny,可以抗一阵吗? |
 | 64 rainfallmax 2019-09-20 15:57:24 +08:00 @love 太猛了 |
 | 65 dingzi 2019-09-20 16:08:52 +08:00 上次遇到过,分析流量,写 cf 防火墙规则,把攻击流量挡防火墙外 |
 | 66 winglight2016 2019-09-20 16:23:54 +08:00 现在黑客都这么厉害了吗?随便发起几百 G 的流量攻击?记得之前有个哥们业余也做这种“服务”,他说,都是按 G 收费的,一次攻击也就一两千个 IP 同时使用,估计还是有水分的。 |
 | 67 Yourshell 2019-09-20 17:26:40 +08:00 是时候找同行聊一下天了。 |
| 68 Devilker 2019-09-20 17:31:19 +08:00 @xiaoyangsa 对,因为没备案,直接提示未备案。然后还在恶意跨白名单去解析,会封服务器,再严重,我甚至遇到过封整个机房的。 |
 | 69 colorfulberry 2019-09-20 17:51:37 +08:00 直接 AWS 走负载均衡。 然后在 AWS 上是这防火墙规则。自己配置总是配不好。多来电机器吧。 可以用日本节点的 AWS。 |
 | 70 Moker 2019-09-20 18:53:14 +08:00 如果用 CF 可以用 workers 直接在 CF 这层就屏蔽掉部分 ip 或者添加一些令牌验证 这样异常请求不会打到服务器 |
 | 71 yezhiqiucn 2019-09-20 19:16:20 +08:00 只要流量到服务器你怎么样都无效的 毕竟单机效率太差 如果确认只要国内访问 CF 本身可以限制访问区域 https://docs.aws.amazon.com/zh_cn/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html 更直接去 AWS 控制台 VPC,CreateNetworkAcl 默认拒绝所有入网流量 然后整理一份中国 IP 的列表 输入进去 可以用 cli 命令处理 |
 | 72 stabc 2019-09-20 19:52:03 +08:00 登录 Cloudflare, 选择 Firewall -> Tools,往下拉,创建"rate limiting rules"。然后就可以限制了,比如对方某个 IP 一分钟刷了超过 30 次就自动屏蔽它 IP。这个几乎完美克制 CC 攻击,又不影响正常用户访问。 需要注意的是 rate limiting 是额外收费的,只对通过的访问收费,被屏蔽掉的不收费: https://support.cloudflare.com/hc/en-us/articles/115000272247-Billing-for-Cloudflare-Rate-Limiting 自己估算一下花销的风险。 |
| 73 stabc 2019-09-20 19:55:51 +08:00 aws 的 Cloudfront 也可以屏蔽,但是我之前咨询过他们,他们对被屏蔽掉的访问也收费的,也就是说攻击者可以直接通过攻击来刷爆你信用卡。 |
 | 74 czb 2019-09-20 20:12:07 +08:00 via Android cc 的确是难挡 特别是一些发起类似业务请求的连接 看了一下你的 IP 来源 大部分攻击来自 DC IP 可以做一个 Bad ASN 表做针对性的验证码或者屏蔽 Cloudflare 其实还有个服务叫做 bot management 联系客服可以开通 https://www.cloudflare.com/products/bot-management/ |
 | 75 xabc 2019-09-20 22:22:22 +08:00 via iPhone 微信 xabcstack 可以帮你搞定, 是付费服务,搞不定没有费用 |
 | 76 xencdn 2019-09-20 22:24:38 +08:00 if ($cookie_say != "xencdn"){ add_header Set-Cookie "say=xencdn"; rewrite .* "$scheme://$host$uri" redirect; } 当 cookie 中 say 为空时,给一个设置 cookie say 为 xencdn 的 302 重定向包,如果访问者能够在第二个包中携带上 cookie 值,那么就能正常访问网站了,如果不能的话,那他永远活在了 302 中。 这个应可以防大部份 CC 加在 location 中间 Cloudflare 提高 waf 防护级别也是可以的 话说打穿 cloudflare 的 CC 攻击还是比较少 |
 | 77 woshipanghu 2019-09-20 23:06:49 +08:00 百度做的是最便宜的 一年好像 2000 出头 ads 防御开到最强 基本能拦下所有攻击,就是进网站前会有验证 |
| 78 woshipanghu 2019-09-20 23:15:25 +08:00 原本用的知道创宇 月付 1500 后来不让月付了 只能年付价格还涨了 额额额 ...只能放弃了 就切到百度上了,便宜也很好用! 每次 cc 猛的时候都要开到防御级别最高 流量瞬间就下来了 防御级别最该的时候就是第一次进网站会有个 5 秒验证 不介意可以用用 和 cf 应该是一样的 c cc 只能买抗 c 的服务 |
 | 79 pandait 2019-09-20 23:36:10 +08:00 via Android CF 就有封国家的功能,在 ruler 里面 |
| 80 pandait 2019-09-20 23:37:41 +08:00 via Android 是的,去 github 找一个叫 cckiller 的工具 |
 | 81 akafeng 2019-09-21 02:22:52 +08:00 楼主预算多少呢? |
 | 82 defunct9 2019-09-21 11:48:02 +08:00 via iPhone 开 ssh,让我上去试试 |
 | 83 RasherN 2019-09-25 12:23:39 +08:00 被 DD 是什么味道,小主机 45.120.186.68 , 我想尝尝! |
 | 84 infra 2019-10-07 21:32:57 +08:00 换个 CDN 试试,另外多找找线索,看能否找到特征。 CC 攻击见过不少,这么成气候的不知有机会深入分析不 |
 | 86 2885232976 2019-11-02 20:32:10 +08:00 名字就是我的 QQ,如果您这边攻击还没解决的话可以加我聊下,我们公司做防御十几年了,CC 很好处理,保证 0 误封。 |
 | 87 Aug 2019-12-18 13:58:01 +08:00 没试试公安部研究所的“网防 g01 吗”,据说啥都能防。 |
 | 89 cpublic 2021-09-04 21:26:29 +08:00 你这是泄露真实 IP 了吧!否则 DDoS 和 CC 攻击的话,CloudFlare 免费版基本都能抗住,建议你排查一下 IP 泄露的地方,然后变更 IP 继续用 CloudFlare 抵挡吧! 目前最好的方案就是 CloudFlare 了! |
Select Language