记一次站点被DDOS攻击

Author：爆胎
发布时间：April 26, 2020
5589views
27 comments
4984 words
Categories：记事

一个安逸的午后，和群友在群里聊起了<code>DDOS</code>和<code>CC</code>，觉得服务器的负载能力相当强大，防御措施也非常好，管你什么攻击，什么<code>CC</code>我强大的<code>redis</code>都可以顶住，什么<code>DDOS</code>什么注入，什么渗透，能把我撂倒就算你厉害 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/discovertruth.png" class="emotion-aru">  结果瞬间让我知道锅儿真的是铁铸的 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/shy.png" class="emotion-aru">

[album]

![嚣张求打](https://img-1259793745.itggg.cn/20201222185549.png)
[/album] </div>
&nbsp;

群里发完消息过了<code>5分钟</code>后收到百度云的提示短信，然后马上百度云后台去看，果然，公网<code>IP</code>已经停止了，心中一震精，卧槽、群友真tm迅速 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/surprised.png" class="emotion-aru">  </br>然后网站就已经死了，访问<code>504</code>状态，赶紧想办法处理，寻思着，停止了我启用不就行了？ 然后<code>10分钟</code>后我发现事情并没有那么简单，没有启动的按钮，那我就提个工单吧

[album]

![提示短信](https://img-1259793745.itggg.cn/20201222185550.jpg)
![IP状态](https://img-1259793745.itggg.cn/20201222185551.jpg)
[/album] </div>
&nbsp;

然而不行，给我反馈的信息是：**您好，BCC服务器的DDOS防护阈值目前默认为5Gbps（内地区域BCC5G，香港区域BCC为1Gbps），触发黑洞后IP将被运营商封禁24小时，无法解封。核实到您的IP于:2020-04-24 14:23:19 触发黑洞和封禁,被语音上黑洞之后,百度云这边无法干预进行解封,您可以参考使用ddos高仿IP** 简单来说公网`IP`被运营商封禁了，靠百度云出面也是不好解决的，后台一看，霍哟，发送了这么多流量，后面我去了解了一下这个黑洞的概念

&nbsp;

当云服务商监测到被攻击，且超出了免费防御的限度后，为了防止攻击流量到达机房的阈值，云计算系统会向上级运营商发送特殊的路由，丢弃这个 IP 的流量，使得流量被就近丢弃在运营商的黑洞中。
</div>

<div class="panel panel-default collapse-panel box-shadow-wrap-lg"><div class="panel-heading panel-collapse" data-toggle="collapse" data-target="#collapse-a9c6964aab1734baca0477040f1e53f58" aria-expanded="true"><div class="accordion-toggle"><span>网络黑洞概念</span>
<i class="pull-right fontello icon-fw fontello-angle-right"></i>
</div>
</div>
<div class="panel-body collapse-panel-body">
<div id="collapse-a9c6964aab1734baca0477040f1e53f58" class="collapse collapse-content"><p></p>
在互联网初期，<code>IDC</code> 并没有提供防护的能力，也没有黑洞，所以攻击流量对服务器和交换机造成很大的压力，导致网内拥塞，回环，甚至是服务器无法正常工作，很多IDC往往采用拔网线之类简单粗暴的办法来应对。
后来，一些 <code>IDC </code>在入口加入了清洗的程序，能够对攻击流量进行简单的过滤，这样就大大的减轻了服务器和内网交换机的压力。但是机房的承载能力也是有上限的，如果攻击总量超出了机房的承载能力，那么会导致整个机房的入口被堵死，结果就是机房的所有服务器都因为网络堵塞而无法对外提供服务。
后来，黑洞出现了，但是那时候的黑洞也是在机房的入口配置，只是减轻了服务器的压力，如果攻击的总量超出了机房的承载能力，最终还是因入口被堵塞而导致整个机房的服务器无法对外提供服务。在这种情况下，宣告了攻击者的得手，没有必要再尽心攻击，但是如果攻击者并没有因为目标无法访问而停手，那么机房入口仍有拥塞的风险。
后来，黑洞进一步升级，在机房黑洞之上采用了运营商联动黑洞。在遇到大流量攻击时，<code>DDoS</code>防御系统调用运营商黑洞，在运营商侧丢弃流量，可以大大缓解<code>DDoS</code>攻击对机房带宽的压力。
云计算平台也广泛采用了此类黑洞技术隔离被攻击用户，保证机房和未受攻击用户不受DDoS攻击影响。 不仅如此，云计算平台的优势在于提供了灵活可扩展的计算资源和网络资源，通过整合这些资源，用户可以有效缓解<code>DDoS</code>带来的影响。

**为什么托管服务商不会替你无限制承担攻击？**
一般来说，服务商会帮你承担少量的攻击，因为很多时候可能是探测流量等，并非真实的攻击，如果每次都丢入黑洞，用户体验极差。
<code>DDoS</code>攻击是我们共同的敌人，大多数云计算平台已经尽力为客户免费防御了大多数的<code>DDoS，</code>也和客户共同承担<code>DDoS</code>的风险。当你受到了大规模<code> DDoS </code>攻击后，你不是唯一一个受害者，整个机房、集群都会受到严重的影响，所有的服务的稳定性都无法保障。
除此之外，在上面我们说到，目前 <code>DDoS </code>都是带宽消耗型攻击，带宽消耗攻击型想要解决就需要提升带宽，但是，机房本身最大的成本便是带宽费用。
而带宽是机房向电信、联通、移动等通信运营商购买的，运营商的计费是按照带宽进行计费的，而运营商在计费时，是不会将 <code>DDoS </code>的攻击流量清洗掉的，而是也算入计费中，就导致机房需要承担高昂的费用。如果你不承担相应的费用，机房的无奈之下的选择自然便是将你的服务器丢入黑洞。<p></p></div></div></div>

![工单](https://img-1259793745.itggg.cn/20201222185552.jpg)

![攻击数据](https://img-1259793745.itggg.cn/20201222185553.jpg)

![攻击数据](https://img-1259793745.itggg.cn/20201222185554.jpg)

&nbsp;

<h3>3.高防IP</h3>看来靠百度云解决是不行了，不过给了一个链接，参考<code>ddos</code>高仿<code>IP</code>，这是啥玩意？感觉很流弊，可以防御似的。打开链接一看，嚯哟，还要钱呢，<code>5000+ </code> <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/despise.png" class="emotion-aru"> ,玩尼玛呢，告辞 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/cheer.png" class="emotion-aru">

![收费标准](https://img-1259793745.itggg.cn/20201222185555.jpg)

&nbsp;

无奈，只能另想别的办法了，突然灵光一现，我再去买一个计量收费的公网<code>IP</code>不就可以了吗？这样我可以先用着，等禁封结束我再换回去不就可以了。然而，并不行，对于做博客的站长来说，一般都是买的套餐服务器或者搞活动的服务器，就一台服务器，一个公网<code>IP</code>，一般来说都是有绑定关系的，而且黑洞状态的<code>IP</code>也不能解除绑定的服务器，也是要等到黑洞解除了才可以解绑。

![客服反馈](https://img-1259793745.itggg.cn/20201222185556.jpg)

&nbsp;

<code>DDOS解释</code></br>

**中文名：分布式拒绝服务攻击**</br>

**外文名：Distributed denial of service attack**</br>

没办法，看来这回是没辙了，沙家浜第二幕：撤退 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/surrender.png" class="emotion-aru"> </br>那就坐等<code>24小时</code>吧，反正服务器是好的，数据什么的都还在，心里也不是很慌，顺便科普了下<code>DDOS</code>的概念和历史。说简单点，就比如电话轰炸，<code>100</code>个人同时不停的给你打电话，正常要联系的人根本就打不进来，或者占线。可以屏蔽这些号码，但是这些号码都是随机的，根本屏蔽不过来，要么就全部屏蔽了，全部屏蔽就导致正常要联系的人也联系不到了。但是对手机本身是没有什么太大影响的，你换张电话卡就正常了，只是原来的号码是一直在被呼叫，无法正常使用。所以<code>DDOS</code>攻击对服务器本身是没有什么太大影响，只是在消耗你的带宽资源，但服务器换<code>IP</code>可不像手机换号码一样简单，会受到许多因素和条件限制。

[DDOS科普][9]

![DDOS拓扑图](https://img-1259793745.itggg.cn/20201222185557.jpg)

&nbsp;

没有办法挽回，闲着也是闲着，所谓吃一堑长一智，那么就要总结下是怎么攻击到服务器的，查阅了许多资料，<code>DDOS</code>攻击的手段现在还没有特别好的解决方法，要么就是拼带宽，要么就是用一些检测手段来识别后迅速阻断，但是我得出一个结论.</br>
一般都是找到你的<code>IP</code>地址然后攻击的，因为我的一级域名是接了阿里云<code>cdn</code>加速的，所以<code>ping</code>出来的<code>IP</code>地址不可能找到源<code>IP</code>的，但是我有一个做接口的二级域名，没有接任何<code>cdn</code>，还有几个演示页面为了图省事，也是放在了源站<code>IP</code>代理的地址上，<code>ping域名</code>的话就直接是源站<code>IP</code>，所以这次怀疑就是这里出了问题才暴露了源站<code>IP，</code>导致几分钟就被打死了。</br>
目前而言，<code>DDOS</code>攻击并没有最好的根治之法，做不到彻底防御，只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障，将<code>DDOS</code>攻击带来的损失尽量降低到最小。

&nbsp;
![](https://img-1259793745.itggg.cn/20201222185558.jpg)

&nbsp;
[延申阅读1][12]
&nbsp;
[延申阅读2][13]
&nbsp;
[延申阅读3][14]

&nbsp;

**在无法访问的这24小时内，我做了如下的动作来全面整改以及可能暴露源站IP的地方**

**1**.<code>SSL</code>证书部署也不要怕麻烦

**2**.整改博客内所有文章的截图，链接，包括一些演示页面的地址

**3**.在百度云加速特定规则开启访问者方式检查

**4**.调整<code>ADS</code>防御，<code>CC</code>级别为高，开启<code>DDOS</code>防御，并停用海外域名解析

**5.**<code>cdn</code>存储的图片和一些资源开启白名单访问，防止疯狂刷走流量

**6**.更换服务器的公网IP地址，如果不换，那么前面做的动作都没效果了，因为已经知道你的源站<code>IP</code>，可以直接绕过来攻击

**以上**差不多就是在免费的层面可以整改的内容了，预防一下还是没有什么大问题,如果你有什么白嫖的好方法欢迎下方留言讨论 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/tongue.png" class="emotion-aru">

&nbsp;
**网友提供的方法：**

**1.**<code>ddos</code>攻击基本只能硬抗，没法防御，所以千万别暴露自己服务<code>ip</code>，套个<code>cdn</code>，要防御高的并且免费可以选择<code>cloudflare</code>，但延迟有点高，按流量计费的<code>cdn</code>建议设置好带宽峰值，避免一次攻击就破产了  </br> [来自：zeruns][15]

[9]: https://www.jianshu.com/p/e7a5fdc67b8f
[10]: https://nos.netease.com/cloud-website-bucket/20180823173504f72c7d12-27ca-42e3-b1de-69cf877f0727.jpg
[12]: https://baijiahao.baidu.com/s?id=1608937910114443342&wfr=spider&for=pc
[13]: https://www.sohu.com/a/197452322_99961225
[14]: https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&rsv_idx=1&tn=baidu&wd=ddos%E6%94%BB%E5%87%BB%E5%8F%91%E5%B1%95%E5%8F%B2&fenlei=256&oq=ddos%25E6%2594%25BB%25E5%2587%25BB%25E5%258F%2591%25E5%25B1%2595&rsv_pq=d8560ea60000024d&rsv_t=bf21tf7uq%2FKu%2BQT2x9IcCSk6RheklRPYI%2Bj6BVBzw5kLtdiQ91jwp1EtdXM&rqlang=cn&rsv_enter=0&rsv_dl=tb&rsv_btype=t&inputT=3180&rsv_sug3=58&rsv_sug1=25&rsv_sug7=000&rsv_sug2=0&rsv_sug4=15753&rsv_sug=1
[15]: https://blog.zeruns.tech/

Last modification：June 19th, 2021 at 10:48 am

如果你想请我喝奶茶的话

27 comments

songuji
August 16, 2020

怎么停止海外域名得解析呢？我用的阿里云得服务器和oss，用的百度云cdn，宝塔面板已经选择屏蔽海外IP了，但是我挂了节点，还是可以访问，请解惑。

Reply
1. 爆胎
  August 16, 2020
  
  @songuji
  
  百度云加速自带有这个功能，一般CDN没有这个功能呢，你可以试试百度云加速的，是直接停止解析。宝塔只是屏蔽了海外来的IP，只是屏蔽，并不是不能访问，个人觉得宝塔并不是特别完全。你挂了什么节点？你可以代理上网后路由跟踪一下，看走的什么路线到你的网站的。
  相关截图：https://s1.ax1x.com/2020/08/16/dVJfWF.jpg
  
  Reply
Cryicky
June 25, 2020

总结都学到了哈哈，话说博主之前是百度云加速和阿里云cdn一起用的吗？目前我在用阿里云全站加速，没发现有类似“特定访问者检查”或者访问验证码之类的东西，在考虑是不是换个cdn。

Reply
1. 爆胎
  June 26, 2020
  
  @Cryicky
  
  我最开始用的百度云加速，由于DNS的问题，我有个RSS的服务在百度云的节点上会请求不到，就转入用了阿里云的全站加速，只把主站接入了，二级域名嫌麻烦懒得搞，就没弄。经过这事儿后，我又换回了百度云加速，全部都接入了，接入方式换成了cname接入。阿里云全站加速没有“特定访问者检查”或者访问验证码之类的东西，只有百度云加速有。换CDN的话，只要把源站IP隐藏起来，一般都没多大的问题，换不换看自己。
  
  Reply
  1. Cryicky
    June 26, 2020
    
    @爆胎
    
    阿里云全站加速害怕被打一次直接打到欠费
    
    Reply
成人之美
May 2, 2020

cdn被刷起来也受不了

Reply
1. 爆胎
  May 2, 2020
  
  @成人之美
  
  设置好峰值，免得破产
  
  Reply
Foal
April 29, 2020

要ty开发板吧，我都不敢乱搞了OωO，写文章的那个页面错位了：

Reply
1. 爆胎
  April 29, 2020
  
  @Foal
  
  怎么会呢？我的升级后都是好的，没有出问题的地方，你这个肯定是哪里样式错了，或者元素重叠了，你F12看看就知道了。
  
  Reply
Foal
April 28, 2020

套个抗打的CDN就行了，打你的人应该记住了你的源站IP，再怎么防也不行的。

Reply
1. 爆胎
  April 29, 2020
  
  @Foal
  
  源站IP已经换了
  
  Reply
  1. Foal
    April 29, 2020
    
    @爆胎
    
    你的邮件回复有点秀啊！
    
    Reply
    
    爆胎
    April 29, 2020
    
    @Foal
    
    有教学的
    
    Reply
任宝硕
April 28, 2020

作为一个一天被打上百上千次的站长，我觉得这已经是常事了，总有xxs买页端来打，搞不懂xxs咋想的

Reply
1. 爆胎
  April 28, 2020
  
  @任宝硕
  
  大佬站点引人注目，总会有想在你面前秀技术的
  
  Reply
zeruns
April 27, 2020

ddos攻击基本只能硬抗，没法防御，所以千万别暴露自己服务ip，套个cdn，要防御高的并且免费可以选择cloudflare，但延迟有点高，按流量计费的cdn建议设置好带宽峰值，避免一次攻击就破产了

Reply
1. 爆胎
  April 27, 2020
  
  @zeruns
  
  感谢分享
  
  Reply
哈哈
April 27, 2020

5秒盾了解下

Reply
ZC.TigerRoot
April 27, 2020

我也搞过这种事啊：我们班有个同学的网站受到老师的重视，然后一次网络班会的时候，老师准备上一下他的站，然后我就花了10分钟时间D了他

Reply
1. 爆胎
  April 27, 2020
  
  @ZC.TigerRoot
  
  可以的小老弟，教学一手如何？
  
  Reply
  1. ZC.TigerRoot
    April 27, 2020
    
    @爆胎
    
    可以搜索一下ab指令
    
    Reply
2. 卡洛Karro
  April 27, 2020
  
  @ZC.TigerRoot
  
  woc哈哈哈哈，拆台专家
  我虽然做网站这么多年，但是依然不知道怎么D别人
  
  Reply
  1. zeruns
    April 27, 2020
    
    @卡洛Karro
    
    几万台肉鸡（被黑客控制的电脑）同时不断访问你的网站，你可以百度搜索“远控”或"DDOS集群"软件，通过这些软件生成木马，将木马免杀后捆绑到正常的软件，或者通过漏洞植入到别人的电脑，将别人的电脑变成你的肉鸡。这些都是违法行为，不建议尝试
    
    Reply
  2. 爆胎
    April 27, 2020
    
    @卡洛Karro
    
    我百度过，有什么python脚本，有什么小软件，但是没尝试过
    
    Reply
    
    卡洛Karro
    April 27, 2020
    
    @爆胎
    
    哇啊啊啊大佬回复了www我想问一下邮件通知是怎么做到的OωO
    
    Reply
    
    爆胎
    April 27, 2020
    
    @卡洛Karro
    
    是一个插件，链接在此：https://github.com/AlanDecode/Typecho-Plugin-Mailer
    需要把后台程序升级到开发版，这是教程：https://blog.zggsong.cn/archives/1082.html
    
    Reply
    
    卡洛Karro
    April 27, 2020
    
    @爆胎
    
    啊啊谢谢谢谢
    
    Reply

为你的博客添加一个萌萌哒的看板娘吧
浏览次数: 24564
网易云日推
浏览次数: 23297
氛围音乐
浏览次数: 18736
OneManager搭建网盘详细过程
浏览次数: 7546
在回忆里，我们永远是恋人
浏览次数: 5641

乐乐
支持下看看！！！！
Anakin
API、博客、主页。。。所有的🤣
Anakin
ssl过期啦
老刘
好看，品味审美都在线
r43g
5a单号网快递购买 5a空包代发网www.5adanhw.com

记一次站点被DDOS攻击

爆胎 • 2020 年 04 月 26 日

[album]

![嚣张求打](https://img-1259793745.itggg.cn/20201222185549.png)
[/album] </div>
&nbsp;

[album]

![提示短信](https://img-1259793745.itggg.cn/20201222185550.jpg)
![IP状态](https://img-1259793745.itggg.cn/20201222185551.jpg)
[/album] </div>
&nbsp;

&nbsp;

<div class="panel panel-default collapse-panel box-shadow-wrap-lg"><div class="panel-heading panel-collapse" data-toggle="collapse" data-target="#collapse-f0472288082ed1ce5cc476aaf30dc53b24" aria-expanded="true"><div class="accordion-toggle"><span>网络黑洞概念</span>
<i class="pull-right fontello icon-fw fontello-angle-right"></i>
</div>
</div>
<div class="panel-body collapse-panel-body">
<div id="collapse-f0472288082ed1ce5cc476aaf30dc53b24" class="collapse collapse-content"><p></p>
在互联网初期，<code>IDC</code> 并没有提供防护的能力，也没有黑洞，所以攻击流量对服务器和交换机造成很大的压力，导致网内拥塞，回环，甚至是服务器无法正常工作，很多IDC往往采用拔网线之类简单粗暴的办法来应对。
后来，一些 <code>IDC </code>在入口加入了清洗的程序，能够对攻击流量进行简单的过滤，这样就大大的减轻了服务器和内网交换机的压力。但是机房的承载能力也是有上限的，如果攻击总量超出了机房的承载能力，那么会导致整个机房的入口被堵死，结果就是机房的所有服务器都因为网络堵塞而无法对外提供服务。
后来，黑洞出现了，但是那时候的黑洞也是在机房的入口配置，只是减轻了服务器的压力，如果攻击的总量超出了机房的承载能力，最终还是因入口被堵塞而导致整个机房的服务器无法对外提供服务。在这种情况下，宣告了攻击者的得手，没有必要再尽心攻击，但是如果攻击者并没有因为目标无法访问而停手，那么机房入口仍有拥塞的风险。
后来，黑洞进一步升级，在机房黑洞之上采用了运营商联动黑洞。在遇到大流量攻击时，<code>DDoS</code>防御系统调用运营商黑洞，在运营商侧丢弃流量，可以大大缓解<code>DDoS</code>攻击对机房带宽的压力。
云计算平台也广泛采用了此类黑洞技术隔离被攻击用户，保证机房和未受攻击用户不受DDoS攻击影响。 不仅如此，云计算平台的优势在于提供了灵活可扩展的计算资源和网络资源，通过整合这些资源，用户可以有效缓解<code>DDoS</code>带来的影响。

![工单](https://img-1259793745.itggg.cn/20201222185552.jpg)

![攻击数据](https://img-1259793745.itggg.cn/20201222185553.jpg)

![攻击数据](https://img-1259793745.itggg.cn/20201222185554.jpg)

&nbsp;

![收费标准](https://img-1259793745.itggg.cn/20201222185555.jpg)

&nbsp;

![客服反馈](https://img-1259793745.itggg.cn/20201222185556.jpg)

&nbsp;

<code>DDOS解释</code></br>

**中文名：分布式拒绝服务攻击**</br>

**外文名：Distributed denial of service attack**</br>

[DDOS科普][9]

![DDOS拓扑图](https://img-1259793745.itggg.cn/20201222185557.jpg)

&nbsp;

&nbsp;
![](https://img-1259793745.itggg.cn/20201222185558.jpg)

&nbsp;
[延申阅读1][12]
&nbsp;
[延申阅读2][13]
&nbsp;
[延申阅读3][14]

&nbsp;

**在无法访问的这24小时内，我做了如下的动作来全面整改以及可能暴露源站IP的地方**

**1**.<code>SSL</code>证书部署也不要怕麻烦

**2**.整改博客内所有文章的截图，链接，包括一些演示页面的地址

**3**.在百度云加速特定规则开启访问者方式检查

**4**.调整<code>ADS</code>防御，<code>CC</code>级别为高，开启<code>DDOS</code>防御，并停用海外域名解析

**5.**<code>cdn</code>存储的图片和一些资源开启白名单访问，防止疯狂刷走流量

**6**.更换服务器的公网IP地址，如果不换，那么前面做的动作都没效果了，因为已经知道你的源站<code>IP</code>，可以直接绕过来攻击

&nbsp;
**网友提供的方法：**

记一次站点被DDOS攻击

Leave a Comment Cancel reply

27 comments

为你的博客添加一个萌萌哒的看板娘吧

网易云日推

氛围音乐

OneManager搭建网盘详细过程

在回忆里，我们永远是恋人

CentOS7启用腾讯TCPA拥堵算法

为你的博客添加一个萌萌哒的看板娘吧

2 A.M Study Session 📚 - [lofi hip hop/chill beats]

一开始就想试试谈恋爱的感觉，没想到陷得这么深

氛围音乐

记一次站点被DDOS攻击