起因

一个安逸的午后,和群友在群里聊起了DDOSCC,觉得服务器的负载能力相当强大,防御措施也非常好,管你什么攻击,什么CC我强大的redis都可以顶住,什么DDOS什么注入,什么渗透,能把我撂倒就算你厉害 结果瞬间让我知道锅儿真的是铁铸的

嚣张求打
嚣张求打

 

过程

1.闪电打击

群里发完消息过了5分钟后收到百度云的提示短信,然后马上百度云后台去看,果然,公网IP已经停止了,心中一震精,卧槽、群友真tm迅速
然后网站就已经死了,访问504状态,赶紧想办法处理,寻思着,停止了我启用不就行了? 然后10分钟后我发现事情并没有那么简单,没有启动的按钮,那我就提个工单吧

提示短信
提示短信
IP状态
IP状态

 

2.禁封IP

然而不行,给我反馈的信息是:您好,BCC服务器的DDOS防护阈值目前默认为5Gbps(内地区域BCC5G,香港区域BCC为1Gbps),触发黑洞后IP将被运营商封禁24小时,无法解封。核实到您的IP于:2020-04-24 14:23:19 触发黑洞和封禁,被语音上黑洞之后,百度云这边无法干预进行解封,您可以参考使用ddos高仿IP 简单来说公网IP被运营商封禁了,靠百度云出面也是不好解决的,后台一看,霍哟,发送了这么多流量,后面我去了解了一下这个黑洞的概念

 

当云服务商监测到被攻击,且超出了免费防御的限度后,为了防止攻击流量到达机房的阈值,云计算系统会向上级运营商发送特殊的路由,丢弃这个 IP 的流量,使得流量被就近丢弃在运营商的黑洞中。

网络黑洞概念


在互联网初期,IDC 并没有提供防护的能力,也没有黑洞,所以攻击流量对服务器和交换机造成很大的压力,导致网内拥塞,回环,甚至是服务器无法正常工作,很多IDC往往采用拔网线之类简单粗暴的办法来应对。
后来,一些 IDC 在入口加入了清洗的程序,能够对攻击流量进行简单的过滤,这样就大大的减轻了服务器和内网交换机的压力。但是机房的承载能力也是有上限的,如果攻击总量超出了机房的承载能力,那么会导致整个机房的入口被堵死,结果就是机房的所有服务器都因为网络堵塞而无法对外提供服务。
后来,黑洞出现了,但是那时候的黑洞也是在机房的入口配置,只是减轻了服务器的压力,如果攻击的总量超出了机房的承载能力,最终还是因入口被堵塞而导致整个机房的服务器无法对外提供服务。在这种情况下,宣告了攻击者的得手,没有必要再尽心攻击,但是如果攻击者并没有因为目标无法访问而停手,那么机房入口仍有拥塞的风险。
后来,黑洞进一步升级,在机房黑洞之上采用了运营商联动黑洞。在遇到大流量攻击时,DDoS防御系统调用运营商黑洞,在运营商侧丢弃流量,可以大大缓解DDoS攻击对机房带宽的压力。
云计算平台也广泛采用了此类黑洞技术隔离被攻击用户,保证机房和未受攻击用户不受DDoS攻击影响。 不仅如此,云计算平台的优势在于提供了灵活可扩展的计算资源和网络资源,通过整合这些资源,用户可以有效缓解DDoS带来的影响。

为什么托管服务商不会替你无限制承担攻击?
一般来说,服务商会帮你承担少量的攻击,因为很多时候可能是探测流量等,并非真实的攻击,如果每次都丢入黑洞,用户体验极差。
DDoS攻击是我们共同的敌人,大多数云计算平台已经尽力为客户免费防御了大多数的DDoS,也和客户共同承担DDoS的风险。当你受到了大规模 DDoS 攻击后,你不是唯一一个受害者,整个机房、集群都会受到严重的影响,所有的服务的稳定性都无法保障。
除此之外,在上面我们说到,目前 DDoS 都是带宽消耗型攻击,带宽消耗攻击型想要解决就需要提升带宽,但是,机房本身最大的成本便是带宽费用。
而带宽是机房向电信、联通、移动等通信运营商购买的,运营商的计费是按照带宽进行计费的,而运营商在计费时,是不会将 DDoS 的攻击流量清洗掉的,而是也算入计费中,就导致机房需要承担高昂的费用。如果你不承担相应的费用,机房的无奈之下的选择自然便是将你的服务器丢入黑洞。

工单

攻击数据

攻击数据

 

3.高防IP

看来靠百度云解决是不行了,不过给了一个链接,参考ddos高仿IP,这是啥玩意?感觉很流弊,可以防御似的。打开链接一看,嚯哟,还要钱呢,5000+ ,玩尼玛呢,告辞

收费标准

 

4.思考解决

无奈,只能另想别的办法了,突然灵光一现,我再去买一个计量收费的公网IP不就可以了吗?这样我可以先用着,等禁封结束我再换回去不就可以了。然而,并不行,对于做博客的站长来说,一般都是买的套餐服务器或者搞活动的服务器,就一台服务器,一个公网IP,一般来说都是有绑定关系的,而且黑洞状态的IP也不能解除绑定的服务器,也是要等到黑洞解除了才可以解绑。

客服反馈

 

5.接受现实

DDOS解释

中文名:分布式拒绝服务攻击

外文名:Distributed denial of service attack

没办法,看来这回是没辙了,沙家浜第二幕:撤退
那就坐等24小时吧,反正服务器是好的,数据什么的都还在,心里也不是很慌,顺便科普了下DDOS的概念和历史。说简单点,就比如电话轰炸,100个人同时不停的给你打电话,正常要联系的人根本就打不进来,或者占线。可以屏蔽这些号码,但是这些号码都是随机的,根本屏蔽不过来,要么就全部屏蔽了,全部屏蔽就导致正常要联系的人也联系不到了。但是对手机本身是没有什么太大影响的,你换张电话卡就正常了,只是原来的号码是一直在被呼叫,无法正常使用。所以DDOS攻击对服务器本身是没有什么太大影响,只是在消耗你的带宽资源,但服务器换IP可不像手机换号码一样简单,会受到许多因素和条件限制。

DDOS科普

DDOS拓扑图

 

6.总结

没有办法挽回,闲着也是闲着,所谓吃一堑长一智,那么就要总结下是怎么攻击到服务器的,查阅了许多资料,DDOS攻击的手段现在还没有特别好的解决方法,要么就是拼带宽,要么就是用一些检测手段来识别后迅速阻断,但是我得出一个结论.

一般都是找到你的IP地址然后攻击的,因为我的一级域名是接了阿里云cdn加速的,所以ping出来的IP地址不可能找到源IP的,但是我有一个做接口的二级域名,没有接任何cdn,还有几个演示页面为了图省事,也是放在了源站IP代理的地址上,ping域名的话就直接是源站IP,所以这次怀疑就是这里出了问题才暴露了源站IP,导致几分钟就被打死了。

目前而言,DDOS攻击并没有最好的根治之法,做不到彻底防御,只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障,将DDOS攻击带来的损失尽量降低到最小。

 

 
延申阅读1
 
延申阅读2
 
延申阅读3

 

后记

在无法访问的这24小时内,我做了如下的动作来全面整改以及可能暴露源站IP的地方

1.SSL证书部署也不要怕麻烦

2.整改博客内所有文章的截图,链接,包括一些演示页面的地址

3.在百度云加速特定规则开启访问者方式检查

4.调整ADS防御,CC级别为高,开启DDOS防御,并停用海外域名解析

5.cdn存储的图片和一些资源开启白名单访问,防止疯狂刷走流量

6.更换服务器的公网IP地址,如果不换,那么前面做的动作都没效果了,因为已经知道你的源站IP,可以直接绕过来攻击

以上差不多就是在免费的层面可以整改的内容了,预防一下还是没有什么大问题,如果你有什么白嫖的好方法欢迎下方留言讨论

 
网友提供的方法:

1.ddos攻击基本只能硬抗,没法防御,所以千万别暴露自己服务ip,套个cdn,要防御高的并且免费可以选择cloudflare,但延迟有点高,按流量计费的cdn建议设置好带宽峰值,避免一次攻击就破产了
来自:zeruns

Last modification:May 31, 2022
© Allow specification reprint
如果你想请我喝奶茶的话