这是一个创建于 4273 天前的主题,其中的信息可能已经有所发展或是发生改变。
中午正在睡觉,收到阿里云云盾发来的报警短信,服务器收到DDOS攻击,攻击类型为:
四层攻击: TCP连接攻击
七层攻击: HTTP Flood(CC攻击)
正在执行流量清洗,ip大约有60多个。
网页已经打不开了,提示
502 Bad Gateway
nginx/1.5.0
问题是服务器跑的是IIS,并没有安装nginx,怎么会出现nginx的提示呢?
四层攻击: TCP连接攻击
七层攻击: HTTP Flood(CC攻击)
正在执行流量清洗,ip大约有60多个。
网页已经打不开了,提示
502 Bad Gateway
nginx/1.5.0
问题是服务器跑的是IIS,并没有安装nginx,怎么会出现nginx的提示呢?
 | 1 lsylsy2 2014-04-15 16:17:28 +08:00 这个Nginx应该就是“云盾”的一部分,流量走他那反代之后再给你。 |
 | 2 bobopu OP @lsylsy2 这个我得问下阿里云是不是他们用了nginx。另外,用火狐打开页面后网址后会出现一串 ?ccepezynrgtmpvhf的东西,而且一直很快的在自动刷新。。。。 |
| 3 lsylsy2 2014-04-15 18:56:42 +08:00 @bobopu 也是,阿里云理论上应该有Tengine……不过还是比较大的可能性是他的云盾。 问号后面那些东西应该是防CC,原理记得是在网页里面写Javascript,攻击脚本(比如基于wget的)无法跳转,就会被封掉。 |
 | 4 nilai 2014-04-15 20:06:18 +08:00  1 60多个IP的攻击还叫攻击么.. |
 | 6 damon5 2014-04-15 20:27:44 +08:00 正常啊。。。 |
 | 7 xoxo 2014-04-15 20:47:35 +08:00 楼主如果使用了WAF就会出现此情况 |
| 8 bobopu OP @lsylsy2 问了阿里云说这个东西不是他们的,因为同时用了安全宝,安全宝说nginx是他们的,但问号后面那些东西不是他们的。安全宝说他们免费版没有抗d和抗cc功能。 |
| 9 bobopu OP @xoxo 对,用的是安全宝,下午问他们了,说这个页面就是他们的,但没说为什么出现这个页面。至于问号后面那一串东西说不是他们的。 |
| 10 lsylsy2 2014-04-15 21:56:11 +08:00 @bobopu 我只知道一个叫“金盾”,在很多机房都有的防火墙有这么个机制,具体的我也不清楚……这叠了好几层最容易不清不楚…… |
| 11 bobopu OP @lsylsy2 金盾这个很有名啊,不过阿里云应该用的不是金盾。是啊,我这叠了三层,除了云盾和安全宝,服务器上还有安全狗。好在,这会攻击已经结束了。 |
 | 12 pubby 2014-04-15 22:41:58 +08:00 @lsylsy2 几年前机房有金盾,不过?参数不是这种形式(不过可能跟版本有关),还造成大量误判,百度收录页面大量变成这种网址,于是强制要求直连服务器 -_- 现在几台服务器前无此类设备,上个月一个小屁孩QQ过来敲诈收保护费,不给就用多少多少肉鸡搞残网站,开价每月5、6K,理由是相当于雇个技术人员做网络安全。 一番恐吓后流量和CC攻击就过来了,流量(主要是UDP)交给机房处理,自己写个识别脚本对抗CC(10秒内识别,自动屏蔽ip 10分钟)。 几个小时一番对抗后,估计小屁孩没耐性了,偃旗息鼓作罢了。 最近几天也持续遭受cc攻击中,这次主要来自几个C段,直接整段封了,可能有误伤,等有空了golang写个简单的清洗网关。 |
| 13 bobopu OP @pubby 我这边服务器倒是没进来多少流量,流量反而比没攻击的时候少了。(估计是被阿里云云盾给挡掉了吧)服务器上的安全狗日志里也没提示出现攻击。所以下午那会让我根本无从下手,到底是怎么回事。你这种直连进来的,好像有个腾飞防火墙说是抗CC有效果,具体没试过。 |
| 14 pubby 2014-04-15 23:06:04 +08:00 |
 | 15 xoxo 2014-04-15 23:23:36 +08:00 楼主的智商堪忧啊,既然用了安全宝的CDN,那么云盾里给的IP就只是安全宝的CDN节点IP了, 防火墙只能二选一,且行且珍惜 |
| 18 bobopu OP @pubby 下午问安全宝是不是给我回源了,他们说没有回源。云盾是中午提示开始清洗的,晚上9点提示清洗结束,这中间没说是不是周期性的。那就是说云盾没有拦截住这些CC攻击导致502了吗? |
| 19 bobopu OP @xoxo 啊,我没有撒谎的。因为安全宝此前和云盾一直配合的挺好,用了半年多还没出过问题。后来我也怀疑是云盾把安全宝节点给当挡了,逐一查看了下云盾提示的拦截IP又和安全宝给我分配的9个节点对照了一下,发现只有一个四川的节点被云盾误判的,其他的ip里没见有安全宝了。如果真是安全宝的原因,那有可能就是安全宝还有给我分配的节点没有写出来。 |
| 24 pubby 2014-04-15 23:55:43 +08:00 1 @bobopu CC是有特征的,CDN会让特征更加明显,这你让云盾到底是清洗呢还是不清洗 如果cdn不带抗CC,那就悲剧了 你可以把静态资源分离出去,用CDN加速 动态的还是走云盾吧,阿里云的网络质量难道差到需要CDN? |
| 25 bobopu OP 嘿嘿,阿里云的网络质量倒是不错,但由于我的这个应用需要迅速打开(不能超过2秒),不用安全宝的话,阿里云在某些地区的延迟还是稍有些大。安全宝客服说他们带抗CC的CDN价格是每年30万,可以打折。 |
 | 28 xdeng 2014-04-16 08:03:44 +08:00 via iPhone 生病乱投医的感觉。我觉得个阿里云盾足已 |
| 29 bobopu OP @xdeng 额。。终于让我找到问题所在了,是一启快的问题,安装一启快后,与云盾发生冲突,这些被拦截的IP是一启快的节点……卸载一启快后恢复正常。 |
 | 31 hslx111 2014-04-16 10:31:43 +08:00 前面会有一层nginx做反向代理的,后面才是你自己的服务器 |
 | 32 zjgood 2014-04-16 10:57:22 +08:00 via Android 1 @bobopu 你要两秒内打开何须借助安全宝等软件的自动优化,手动的才是王道,参见gtmetrix.com |
 | 35 wwek 2014-04-16 12:39:47 +08:00 cc攻击都是小菜啊. 少年来几十G UDP如何` |
| 36 wwek 2014-04-16 12:40:53 +08:00 安全宝应该和阿里云 云盾谈好,放入白名单.不过``` 如果免费版的不防cc,那么````````` |
| 37 wwek 2014-04-16 12:41:57 +08:00 我插 三层``` 安全宝>云盾>一启快 楼主你厉害` |
| 38 bobopu OP @wwek 昨晚看了个年初阿里云自身遭攻击,云盾自动防御160G攻击的帖子,感觉好拽。不过云盾给客户的防护是5G,舍不可增加。一启快不是防火墙,用的时候也没打开他的cdn加速。感觉阿里云不会和安全宝谈好,因为阿里云自己的cdn服务也开卖了。。 |
| 39 wwek 2014-04-16 13:21:20 +08:00 @bobopu 阿里云提供免费的 waf cc防护 流量方面抗到 5g 都是免费的.说实话很不错了. cc攻击比较容易防御. 纯udp流量攻击,就只有拼带宽了. 安全宝 防御5G的 cc或者udp什么的. 价格在1万多一年. 不超过5G的防御.这个价钱. |
| 40 wwek 2014-04-16 13:23:44 +08:00 @bobopu 说实话,大多数网站需要一个BGP就ok了.我不需要cdn,又不分发什么大的东西. 一般的网站的静态应用,可以用又拍云,或者七牛. 大部分的网站,反而需要 7层防御(如cc), 4层防御(如udp包). 至于sql注入,xss什么的,做好自身的安全吧.靠三方waf来防御这个是不科学的.先做好自己的程序安全. |
| 42 zjgood 2014-04-16 15:52:22 +08:00 via Android |
| 43 bobopu OP @zjgood 哇,你这个好快!真是风驰电掣般的打开了,和没有图片也有关系吧,不过加载速度的确是快到爆。我的测了下左边的是95分A,右边是90分A,js和图片缓存在七牛,另外还有个统计系统的js需要调用人家的,所以没法合并在一起。 低分低的两个地方提示: Avoid a character set in the meta tag The following resources have a character set specified in a meta tag. Specifying a character set in a meta tag disables the lookahead downloader in IE8. To improve resource download parallelization, move the character set to the HTTP Content-Type response header. Specify a Vary: Accept-Encoding header The following publicly cacheable, compressible resources should have a "Vary: Accept-Encoding" header: 这个具体是什么意思,需要如何改进呢? |
 | 44 simohayha 2014-04-16 18:07:58 +08:00 为什么不用阿里云自己的CDN呢? |
| 47 zjgood 2014-04-16 23:32:23 +08:00 @bobopu css不要放在七牛,就放在阿里云本地,不然网页渲染时还需要等待七牛的域名解析和响应以获取css,js也可以放在本地。图片可以放在七牛。他给的第一个建议是让你在html文档中指定字符编码信息,我是这样制定的,<meta http-equiv="Content-Type" cOntent="text/html; charset=" />,具体你可以查看izj.pw的html代码,第二个建议可能是让你不要在静态文件后增加查询字符串,比如说izj.pw/jquery.js?ver=1234这种样子,只需要izj.pw/jquery.js就行了。具体请看https://developers.google.com/speed/docs/best-practices/caching#LeverageProxyCaching |
 | 50 sadara 2014-04-17 08:33:38 +08:00 via iPhone 阿里云主域名用cdn有备案被取消的风险… |
Select Language