Loading... <h2>起因</h2> 一个安逸的午后,和群友在群里聊起了<code>DDOS</code>和<code>CC</code>,觉得服务器的负载能力相当强大,防御措施也非常好,管你什么攻击,什么<code>CC</code>我强大的<code>redis</code>都可以顶住,什么<code>DDOS</code>什么注入,什么渗透,能把我撂倒就算你厉害 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/discovertruth.png" class="emotion-aru"> 结果瞬间让我知道锅儿真的是铁铸的 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/shy.png" class="emotion-aru">  <h2>过程</h2> <h3>1.闪电打击</h3> 群里发完消息过了<code>5分钟</code>后收到百度云的提示短信,然后马上百度云后台去看,果然,公网<code>IP</code>已经停止了,心中一震精,卧槽、群友真tm迅速 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/surprised.png" class="emotion-aru"> </br>然后网站就已经死了,访问<code>504</code>状态,赶紧想办法处理,寻思着,停止了我启用不就行了? 然后<code>10分钟</code>后我发现事情并没有那么简单,没有启动的按钮,那我就提个工单吧   <h3>2.禁封IP</h3> 然而不行,给我反馈的信息是:<code>(您好,BCC服务器的DDOS防护阈值目前默认为5Gbps(内地区域BCC5G,香港区域BCC为1Gbps),触发黑洞后IP将被运营商封禁24小时,无法解封。核实到您的IP*****于:2020-04-24 14:23:19 触发黑洞和封禁,被语音上黑洞之后,百度云这边无法干预进行解封,您可以参考使用ddos高仿IP,参考:https://cloud.baidu.com/doc/DDOS/s/Hk0f63jrg)</code>简单来说公网<code>IP</code>被运营商封禁了,靠百度云出面也是不好解决的,后台一看,霍哟,发送了这么多流量,后面我去了解了一下这个黑洞的概念 <div class="tip inlineBlock warning"> 当云服务商监测到被攻击,且超出了免费防御的限度后,为了防止攻击流量到达机房的阈值,云计算系统会向上级运营商发送特殊的路由,丢弃这个 IP 的流量,使得流量被就近丢弃在运营商的黑洞中。 </div> <div class="panel panel-default collapse-panel box-shadow-wrap-lg"><div class="panel-heading panel-collapse" data-toggle="collapse" data-target="#collapse-cd6d75bcd0bdc70c4268f84c7a7c9c5013" aria-expanded="true"><div class="accordion-toggle"><span>网络黑洞概念</span> <i class="pull-right fontello icon-fw fontello-angle-right"></i> </div> </div> <div id="collapse-cd6d75bcd0bdc70c4268f84c7a7c9c5013" class="panel-body collapse"> 在互联网初期,<code>IDC</code> 并没有提供防护的能力,也没有黑洞,所以攻击流量对服务器和交换机造成很大的压力,导致网内拥塞,回环,甚至是服务器无法正常工作,很多IDC往往采用拔网线之类简单粗暴的办法来应对。 后来,一些 <code>IDC </code>在入口加入了清洗的程序,能够对攻击流量进行简单的过滤,这样就大大的减轻了服务器和内网交换机的压力。但是机房的承载能力也是有上限的,如果攻击总量超出了机房的承载能力,那么会导致整个机房的入口被堵死,结果就是机房的所有服务器都因为网络堵塞而无法对外提供服务。 后来,黑洞出现了,但是那时候的黑洞也是在机房的入口配置,只是减轻了服务器的压力,如果攻击的总量超出了机房的承载能力,最终还是因入口被堵塞而导致整个机房的服务器无法对外提供服务。在这种情况下,宣告了攻击者的得手,没有必要再尽心攻击,但是如果攻击者并没有因为目标无法访问而停手,那么机房入口仍有拥塞的风险。 后来,黑洞进一步升级,在机房黑洞之上采用了运营商联动黑洞。在遇到大流量攻击时,<code>DDoS</code>防御系统调用运营商黑洞,在运营商侧丢弃流量,可以大大缓解<code>DDoS</code>攻击对机房带宽的压力。 云计算平台也广泛采用了此类黑洞技术隔离被攻击用户,保证机房和未受攻击用户不受DDoS攻击影响。 不仅如此,云计算平台的优势在于提供了灵活可扩展的计算资源和网络资源,通过整合这些资源,用户可以有效缓解<code>DDoS</code>带来的影响。 **为什么托管服务商不会替你无限制承担攻击?** 一般来说,服务商会帮你承担少量的攻击,因为很多时候可能是探测流量等,并非真实的攻击,如果每次都丢入黑洞,用户体验极差。 <code>DDoS</code>攻击是我们共同的敌人,大多数云计算平台已经尽力为客户免费防御了大多数的<code>DDoS,</code>也和客户共同承担<code>DDoS</code>的风险。当你受到了大规模<code> DDoS </code>攻击后,你不是唯一一个受害者,整个机房、集群都会受到严重的影响,所有的服务的稳定性都无法保障。 除此之外,在上面我们说到,目前 <code>DDoS </code>都是带宽消耗型攻击,带宽消耗攻击型想要解决就需要提升带宽,但是,机房本身最大的成本便是带宽费用。 而带宽是机房向电信、联通、移动等通信运营商购买的,运营商的计费是按照带宽进行计费的,而运营商在计费时,是不会将 <code>DDoS </code>的攻击流量清洗掉的,而是也算入计费中,就导致机房需要承担高昂的费用。如果你不承担相应的费用,机房的无奈之下的选择自然便是将你的服务器丢入黑洞。 </div></div>    <h3>3.高防IP</h3>看来靠百度云解决是不行了,不过给了一个链接,参考<code>ddos</code>高仿<code>IP</code>,这是啥玩意?感觉很流弊,可以防御似的。打开链接一看,嚯哟,还要钱呢,<code>5000+ </code> <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/despise.png" class="emotion-aru"> ,玩尼玛呢,告辞 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/cheer.png" class="emotion-aru">  <h3>4.思考解决</h3> 无奈,只能另想别的办法了,突然灵光一现,我再去买一个计量收费的公网<code>IP</code>不就可以了吗?这样我可以先用着,等禁封结束我再换回去不就可以了。然而,并不行,对于做博客的站长来说,一般都是买的套餐服务器或者搞活动的服务器,就一台服务器,一个公网<code>IP</code>,一般来说都是有绑定关系的,而且黑洞状态的<code>IP</code>也不能解除绑定的服务器,也是要等到黑洞解除了才可以解绑。  <h3>4.接受现实</h3> <code>DDOS解释</code></br> **中文名:分布式拒绝服务攻击**</br> **外文名:Distributed denial of service attack**</br> 没办法,看来这回是没辙了,沙家浜第二幕:撤退 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/surrender.png" class="emotion-aru"> </br>那就坐等<code>24小时</code>吧,反正服务器是好的,数据什么的都还在,心里也不是很慌,顺便科普了下<code>DDOS</code>的概念和历史。说简单点,就比如电话轰炸,<code>100</code>个人同时不停的给你打电话,正常要联系的人根本就打不进来,或者占线。可以屏蔽这些号码,但是这些号码都是随机的,根本屏蔽不过来,要么就全部屏蔽了,全部屏蔽就导致正常要联系的人也联系不到了。但是对手机本身是没有什么太大影响的,你换张电话卡就正常了,只是原来的号码是一直在被呼叫,无法正常使用。所以<code>DDOS</code>攻击对服务器本身是没有什么太大影响,只是在消耗你的带宽资源,但服务器换<code>IP</code>可不像手机换号码一样简单,会受到许多因素和条件限制。 [DDOS科普][9]  <h3>5.总结</h3> 没有办法挽回,闲着也是闲着,所谓吃一堑长一智,那么就要总结下是怎么攻击到服务器的,查阅了许多资料,<code>DDOS</code>攻击的手段现在还没有特别好的解决方法,要么就是拼带宽,要么就是用一些检测手段来识别后迅速阻断,但是我得出一个结论.</br> 一般都是找到你的<code>IP</code>地址然后攻击的,因为我的一级域名是接了阿里云<code>cdn</code>加速的,所以<code>ping</code>出来的<code>IP</code>地址不可能找到源<code>IP</code>的,但是我有一个做接口的二级域名,没有接任何<code>cdn</code>,还有几个演示页面为了图省事,也是放在了源站<code>IP</code>代理的地址上,<code>ping域名</code>的话就直接是源站<code>IP</code>,所以这次怀疑就是这里出了问题才暴露了源站<code>IP,</code>导致几分钟就被打死了。</br> 目前而言,<code>DDOS</code>攻击并没有最好的根治之法,做不到彻底防御,只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障,将<code>DDOS</code>攻击带来的损失尽量降低到最小。  [延申阅读1][12] [延申阅读2][13] [延申阅读3][14] <h2>后记</h2> **在无法访问的这24小时内,我做了如下的动作来全面整改以及可能暴露源站IP的地方** **1**.<code>SSL</code>证书部署也不要怕麻烦 **2**.整改博客内所有文章的截图,链接,包括一些演示页面的地址 **3**.在百度云加速特定规则开启访问者方式检查 **4**.调整<code>ADS</code>防御,<code>CC</code>级别为高,开启<code>DDOS</code>防御,并停用海外域名解析 **5.**<code>cdn</code>存储的图片和一些资源开启白名单访问,防止疯狂刷走流量 **6**.更换服务器的公网IP地址,如果不换,那么前面做的动作都没效果了,因为已经知道你的源站<code>IP</code>,可以直接绕过来攻击 **以上**差不多就是在免费的层面可以整改的内容了,预防一下还是没有什么大问题,如果你有什么白嫖的好方法欢迎下方留言讨论 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/tongue.png" class="emotion-aru"> **网友提供的方法:** **1.**<code>ddos</code>攻击基本只能硬抗,没法防御,所以千万别暴露自己服务<code>ip</code>,套个<code>cdn</code>,要防御高的并且免费可以选择<code>cloudflare</code>,但延迟有点高,按流量计费的<code>cdn</code>建议设置好带宽峰值,避免一次攻击就破产了 </br> [来自:zeruns][15] [9]: https://www.jianshu.com/p/e7a5fdc67b8f [10]: https://nos.netease.com/cloud-website-bucket/20180823173504f72c7d12-27ca-42e3-b1de-69cf877f0727.jpg [12]: https://baijiahao.baidu.com/s?id=1608937910114443342&wfr=spider&for=pc [13]: https://www.sohu.com/a/197452322_99961225 [14]: https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&rsv_idx=1&tn=baidu&wd=ddos%E6%94%BB%E5%87%BB%E5%8F%91%E5%B1%95%E5%8F%B2&fenlei=256&oq=ddos%25E6%2594%25BB%25E5%2587%25BB%25E5%258F%2591%25E5%25B1%2595&rsv_pq=d8560ea60000024d&rsv_t=bf21tf7uq%2FKu%2BQT2x9IcCSk6RheklRPYI%2Bj6BVBzw5kLtdiQ91jwp1EtdXM&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t&inputT=3180&rsv_sug3=58&rsv_sug1=25&rsv_sug7=000&rsv_sug2=0&rsv_sug4=15753&rsv_sug=1 [15]: https://blog.zeruns.tech/ Last modification:December 22nd, 2020 at 06:56 pm © 允许规范转载 Support 如果你想请我喝奶茶的话 ×Close Appreciate the author Sweeping payments Pay by AliPay Pay by WeChat
怎么停止海外域名得解析呢?我用的阿里云得服务器和oss,用的百度云cdn,宝塔面板已经选择屏蔽海外IP了,但是我挂了节点,还是可以访问,请解惑。
百度云加速自带有这个功能,一般CDN没有这个功能呢,你可以试试百度云加速的,是直接停止解析。宝塔只是屏蔽了海外来的IP,只是屏蔽,并不是不能访问,个人觉得宝塔并不是特别完全。你挂了什么节点?你可以代理上网后路由跟踪一下,看走的什么路线到你的网站的。
相关截图:https://s1.ax1x.com/2020/08/16/dVJfWF.jpg
总结都学到了哈哈,话说博主之前是百度云加速和阿里云cdn一起用的吗?目前我在用阿里云全站加速,没发现有类似“特定访问者检查”或者访问验证码之类的东西,在考虑是不是换个cdn。
我最开始用的百度云加速,由于DNS的问题,我有个RSS的服务在百度云的节点上会请求不到,就转入用了阿里云的全站加速,只把主站接入了,二级域名嫌麻烦懒得搞,就没弄。经过这事儿后,我又换回了百度云加速,全部都接入了,接入方式换成了cname接入。阿里云全站加速没有“特定访问者检查”或者访问验证码之类的东西,只有百度云加速有。换CDN的话,只要把源站IP隐藏起来,一般都没多大的问题,换不换看自己。
阿里云全站加速害怕被打一次直接打到欠费
cdn被刷起来也受不了
设置好峰值,免得破产
要ty开发板吧,我都不敢乱搞了OωO,写文章的那个页面错位了:
怎么会呢? 我的升级后都是好的,没有出问题的地方,你这个肯定是哪里样式错了,或者元素重叠了,你F12看看就知道了。
套个抗打的CDN就行了,打你的人应该记住了你的源站IP,再怎么防也不行的。
源站IP已经换了
你的邮件回复有点秀啊!
有教学的
作为一个一天被打上百上千次的站长,我觉得这已经是常事了,总有xxs买页端来打,搞不懂xxs咋想的
大佬站点引人注目,
总会有想在你面前秀技术的
ddos攻击基本只能硬抗,没法防御,所以千万别暴露自己服务ip,套个cdn,要防御高的并且免费可以选择cloudflare,但延迟有点高,按流量计费的cdn建议设置好带宽峰值,避免一次攻击就破产了
感谢分享
5秒盾了解下
我也搞过这种事啊:我们班有个同学的网站受到老师的重视,然后一次网络班会的时候,老师准备上一下他的站,然后我就花了10分钟时间D了他
可以的 小老弟,教学一手如何?
可以搜索一下ab指令
woc哈哈哈哈,拆台专家
我虽然做网站这么多年,但是依然不知道怎么D别人
几万台肉鸡(被黑客控制的电脑)同时不断访问你的网站,你可以百度搜索“远控”或"DDOS集群"软件,通过这些软件生成木马,将木马免杀后捆绑到正常的软件,或者通过漏洞植入到别人的电脑,将别人的电脑变成你的肉鸡。这些都是违法行为,不建议尝试
我百度过,有什么python脚本,有什么小软件,但是没尝试过
哇啊啊啊大佬回复了www我想问一下邮件通知是怎么做到的OωO
是一个插件,链接在此:https://github.com/AlanDecode/Typecho-Plugin-Mailer
需要把后台程序升级到开发版,这是教程:https://blog.zggsong.cn/archives/1082.html
啊啊谢谢谢谢