这是一个创建于 3442 天前的主题,其中的信息可能已经有所发展或是发生改变。
1. 网站是放在阿里云 ECS 上的, DDoS 攻击后网站不能访问。从阿里云的后台到流量在 15G 左右,网站服务器进入了阿里云的黑洞。
40 分钟后网站从黑洞里出来,瞬间又遭受攻击并打入黑洞。接下来的 3 个小时一直重复这个过程...
2. 因为已经严重影响业务了,所以购买了阿里云的高防 IP 。 DNS 解析到高防 IP 后,通知客服更换源 IP 。本以为高枕无忧,结果刚过了 10 分钟,网站又被打入黑洞。
攻击者应该是找到了新的源 IP ,直接攻击源服务器。因为高防 IP 到源 IP 走的是外网,所以源服务器进入黑洞后,高防 IP 无法连接源 IP ,导致网站又不能访问。
3. 发工单咨询了阿里云客服,答复是 使用负载均衡 ELB ,即 高防 IP->负载均衡->源 IP 。负载均衡作为桥梁,与高防 IP 走外网,与源 IP 走内网,这样即便源服务在黑洞中也可以访问了。
4. 对方发现 DDos 无效后,开始了 CC 攻击,网站又陷入了瘫痪中。检查以后发现 Mysql 连接数过多,而且连接状态绝大多数是 Sleep 。查看 php 的 slowlog ,找到了原因:源服务器某些页面需要对外请求微信服务器,因为不能访问外网, php 程序阻塞住了,对 Mysql 的连接不能释放。
5. 修改代码将微信和 QQ 相关的连接做了一个代理,对方是无法找到这个代理并打入黑洞的。
6. 攻击者开始变本加厉,最高时流量在 30G , QPS 有 2 万多,网站大量出现 502 错误,看来我蹩脚的 PHP 代码已经扛不住了。 nginx 日志显示其请求的网址比较固定,于是将这些页面做了静态化处理,并将非法的 POST 请求 ban 掉。哈哈!网站正常了。
有一些经验教训,供大家参考:
黑洞有一个触发值,默认是 5G ( 5GB 的阈值可以根据安全信用增加)。因为之前网站的安全信用很好,以经提高到 12G 了。黑洞的时间最短 40 分钟,最长 2 个半小时。整个攻防过程中,网站的信用评级直线下降,阈值降到 5G ,黑洞时间也延长到两个小时。
阿里云 ECS 是不能更换 IP 地址的,除非购买他们的高防 IP ,可以免费更换一次(后来发现实际可以更换多次)。
DDoS 在自己的服务器端是无法防御的,无论是设置安全组还是防火墙,只能去购买高防 IP 或者 CDN 。不过根据这两天的攻击来看,无论是阿里云高防还是 CDN ,在大流量的攻击下,源 IP 还是会暴露的。
DDoS 确定是竞争对手所为,但不想 DDoS 回去。不能助长这些黑产,也不能像别人一样 Low 。
40 分钟后网站从黑洞里出来,瞬间又遭受攻击并打入黑洞。接下来的 3 个小时一直重复这个过程...
2. 因为已经严重影响业务了,所以购买了阿里云的高防 IP 。 DNS 解析到高防 IP 后,通知客服更换源 IP 。本以为高枕无忧,结果刚过了 10 分钟,网站又被打入黑洞。
攻击者应该是找到了新的源 IP ,直接攻击源服务器。因为高防 IP 到源 IP 走的是外网,所以源服务器进入黑洞后,高防 IP 无法连接源 IP ,导致网站又不能访问。
3. 发工单咨询了阿里云客服,答复是 使用负载均衡 ELB ,即 高防 IP->负载均衡->源 IP 。负载均衡作为桥梁,与高防 IP 走外网,与源 IP 走内网,这样即便源服务在黑洞中也可以访问了。
4. 对方发现 DDos 无效后,开始了 CC 攻击,网站又陷入了瘫痪中。检查以后发现 Mysql 连接数过多,而且连接状态绝大多数是 Sleep 。查看 php 的 slowlog ,找到了原因:源服务器某些页面需要对外请求微信服务器,因为不能访问外网, php 程序阻塞住了,对 Mysql 的连接不能释放。
5. 修改代码将微信和 QQ 相关的连接做了一个代理,对方是无法找到这个代理并打入黑洞的。
6. 攻击者开始变本加厉,最高时流量在 30G , QPS 有 2 万多,网站大量出现 502 错误,看来我蹩脚的 PHP 代码已经扛不住了。 nginx 日志显示其请求的网址比较固定,于是将这些页面做了静态化处理,并将非法的 POST 请求 ban 掉。哈哈!网站正常了。
有一些经验教训,供大家参考:
黑洞有一个触发值,默认是 5G ( 5GB 的阈值可以根据安全信用增加)。因为之前网站的安全信用很好,以经提高到 12G 了。黑洞的时间最短 40 分钟,最长 2 个半小时。整个攻防过程中,网站的信用评级直线下降,阈值降到 5G ,黑洞时间也延长到两个小时。
阿里云 ECS 是不能更换 IP 地址的,除非购买他们的高防 IP ,可以免费更换一次(后来发现实际可以更换多次)。
DDoS 在自己的服务器端是无法防御的,无论是设置安全组还是防火墙,只能去购买高防 IP 或者 CDN 。不过根据这两天的攻击来看,无论是阿里云高防还是 CDN ,在大流量的攻击下,源 IP 还是会暴露的。
DDoS 确定是竞争对手所为,但不想 DDoS 回去。不能助长这些黑产,也不能像别人一样 Low 。
 | 1 wql 2016-05-20 23:39:54 +08:00 via iPad  6 > DDoS 确定是竞争对手所为,但不想 DDoS 回去。不能助长这些黑产,也不能像别人一样 Low 。 点赞。 |
 | 2 kofip 2016-05-20 23:53:36 +08:00 攻击者应该是找到了新的源 IP 不懂怎么找到的,怎么个逻辑? |
 | 4 sparanoid 2016-05-21 00:03:46 +08:00 |
 | 5 yunhui 2016-05-21 00:07:34 +08:00 其实我想说,这个攻击量好小。。。。 |
 | 6 testisitok 2016-05-21 00:13:21 +08:00 via Android |
 | 7 xia0ta0 2016-05-21 00:17:15 +08:00 |
 | 8 goodryb 2016-05-21 00:28:53 +08:00 “源服务器某些页面需要对外请求微信服务器,因为不能访问外网, php 程序阻塞住了,对 Mysql 的连接不能释放。” 既然用了 SLB ,那么 ECS 这边安全组规则设置为只允许出站,不允许入站,这样就可以了。外面流量是无法通过公网 IP 进来,而业务可以访问出去。 |
 | 9 UnisandK 2016-05-21 00:32:40 +08:00 @testisitok 随便几百 G ?说话前要不要打一下草稿。 DD 的攻防都是在烧钱,百 G 的要多少钱,不涉及到利益谁会砸钱打你 @vimrus 阿里云这种高防结构和 CDN 流量耗尽回源是两个概念吧,楼主估计是网站有对外进行网络请求的地方被人利用了,还有找回密码的邮件也可能暴露源站 IP ,之前有帖子讨论的 |
 | 11 likuku 2016-05-21 00:51:28 +08:00 [ DDoS 确定是竞争对手所为,但不想 DDoS 回去。不能助长这些黑产,也不能像别人一样 Low 。] 能确定,那就报警啊,让阿里云客服和技术支持给你出证据。 |
 | 14 Austing 2016-05-21 01:25:58 +08:00 如果不是你的系主暴露源或允了所有地址你的源那都可以的到。首先在源上做策略防止查源 IP 吧。 CC 就是拼配置的,起阿里高防 IP 不是有 CC 防,在不行。 |
| 15 Austing 2016-05-21 01:27:05 +08:00 便什不有例?外可以的。 |
 | 16 ayaseangle 2016-05-21 02:17:01 +08:00 via Android 说不定是贼喊捉贼呢 |
 | 17 mytsing520 PRO @Austing 专有实例的公网为弹性 IP ,按小时和流量或带宽计费,每天产生账单一次。不过对于有钱的主来说,这个不算什么大的问题。 |
| 18 Austing 2016-05-21 02:37:12 +08:00 @mytsing520 和典算起差多少。。外套一 SLB 然後高防 IP 直接回源 SLB...(或者其乾脆例好了 233 ) |
| 19 mytsing520 PRO @Austing 嗯,其实 VPC 内的机器直接内网即可,外套一个 SLB 。至于 CDN ,我的选择是访问量不大的话尽可能不用。再说了我有 CDN 代金卷,杭州某大厂出品,质量可以说的上信任。 |
 | 20 WO31400 2016-05-21 03:40:44 +08:00 1 没几百 G 那么夸张,救我自己而言,最高 DDOS 能力在 20G 左右 |
| 21 WO31400 2016-05-21 03:41:06 +08:00 楼上我自己错别字,居然不能编辑.... |
 | 22 9hills 2016-05-21 03:55:34 +08:00 via iPhone 吹几百 G 的笑了, DDOS 本质上不可防御,各种手段用完后就是对着烧,谁本钱大谁能笑到最后。 |
 | 25 qcloud 2016-05-21 08:23:46 +08:00 楼主发下网站,膜拜下能买得起阿里高防的站 |
 | 26 realpg PRO |
 | 27 canglaoshi 2016-05-21 09:07:33 +08:00 楼主土豪。阿里那么贵的防护。 |
 | 28 tntsec 2016-05-21 09:33:38 +08:00 阿里云的 5G 防御,实测其实只有 2G 多就不会报 5G 。。 ipstresser20 刀的套餐打阿里云那叫一个酸爽。。包月,无限的打 |
 | 29 yuera 2016-05-21 09:47:07 +08:00 曾经玩 D 的表示不说话就看看   |
| 30 yunhui 2016-05-21 10:04:15 +08:00 其实,黑市轻轻松松 100 多 G |
 | 31 TangMonk 2016-05-21 10:45:55 +08:00 > DDoS 确定是竞争对手所为,但不想 DDoS 回去。不能助长这些黑产,也不能像别人一样 Low 。 点赞。 |
 | 32 vimrus OP |
 | 33 talker 2016-05-21 11:32:50 +08:00 阿里共享的硬防垃圾 根本没那么多量 |
| 34 talker 2016-05-21 11:33:25 +08:00 |
| 37 testisitok 2016-05-21 12:12:39 +08:00 via Android |
 | 38 lhbc 2016-05-21 12:32:32 +08:00  |
| 39 UnisandK 2016-05-21 14:47:05 +08:00 @testisitok 所以就是“随便”几百 G 咯?抱歉我语文不太好 |
| 41 Austing 2016-05-21 17:55:22 +08:00 @testisitok 百 G?真多。而且都是 UDP 反射出的,有任何性意。 |
| 42 Austing 2016-05-21 18:02:02 +08:00 1 UDP 於房是最好清理的一。在云堤近源清洗 UDP 的格也是其他的。就拿 Vdos 吧,共不足 10G 而已。而反射出的最大峰值有 300Gbps+。 所以我想的是,天天便便百 G 百 G 的,量再。而且就拿佛山那辣房,流量的我都可,越往高越成倍的。 |
 | 43 superxzr 2016-05-21 18:08:17 +08:00 网络资源毕竟有限,上百 G 纯量的能有多少,当机房蠢全部给你发包啊,就算这个机房蠢了,别的机房不把这线拔了还是正常人? |
 | 44 hdczsf 2016-05-21 18:11:11 +08:00 被打几百个 G 是极有可能的. 我这一个多月被打的死去活来的,换了几个域名都摆脱不掉.  |
| 45 qcloud 2016-05-21 18:14:38 +08:00 你所认为的几百 G 流量是什么? 网宿 CDN 防护买的是 6G 防护,防护你所谓的几百 G 流量没问题。 你认为呢? |
 | 50 miaosu 2016-05-21 19:29:34 +08:00 。。才 15G 。。。 小事情。。 |
 | 51 hard2reg 2016-05-21 20:44:38 +08:00 多大仇。。。现在的人一言不合就 DDOS 。。。 |
 | 52 mscdfans 2016-05-21 20:51:14 +08:00 200 多 G 的攻击经常见,见怪不怪了 |
 | 53 wdlth 2016-05-21 21:30:35 +08:00 大量的 Botnet 才真正可怕 |
 | 54 cmaster 2016-05-21 22:21:05 +08:00 为最后一句话点赞! |
 | 55 Balthild 2016-05-21 22:46:34 +08:00 via iPhone 看到楼上的讨论……… 「当你凝视深渊,深渊也报之以凝视」 呸呸呸 「当你 D 服务器,服务器报之以 D 」 还是哪里感觉不对 「人人 D 我,我 D 人人」 |
 | 56 shuiyingwuhen 2016-05-22 11:16:46 +08:00 楼主你得罪谁了 导致这样的 |
 | 57 wwlweihai 2016-09-20 01:05:34 +08:00 建议你换一个云服务商,阿里服务器与 ip 直觉绑定有点不是很好。我建议你试一试青云,服务器与公网是分开购买的,也就是说,你可以频繁的更换服务器 ip ,而无需更换服务器,保证域名解析过去就行。 利益相关,青云代理,如果需要,我可以为你充值点测试费,试一试之后再购入。 |
 | 58 wafm 2016-09-26 01:53:50 +08:00 @wwlweihai 更换服务器 IP 解析的速度也跟不上好吧.加上各地的缓存 你换一次 IP 带来的解析滞后带来的影响不亚于被攻击 |
 | 59 pythonee 2017-04-15 17:06:53 +08:00 @testisitok 什么叫 LOC |
 | 62 ba476 2017-10-29 08:28:20 +08:00 想知道这个 ddos 违法不?有没有钓鱼执法? |
 | 63 licheng527 2017-11-06 16:20:15 +08:00 DDOS 防护能力是秒级,比如峰值 300G/秒。 而防护了几百 G 的攻击,大部分情况是指流量,比如整天被 D,其实是 500G/天。 国内服务器基本不限流量,只要扛得住,打多久都不怕吧,还是会被供应商停机限制? |
 | 64 flyfishcn 2017-11-14 18:37:21 +08:00 @licheng527 流量 500G/天相当于一秒钟 47Mbit,区区 50M 带宽,也叫被 D ?这流量几条家用带宽的上传都能跑到。 |
 | 65 coreos 2018-01-12 21:42:34 +08:00 udp 流量简单,可以打出巨大的倍数。 TCP 的难得多。BOTNAET 要巨大的量级才有的搞。而且还要是活的。 |
 | 66 buaacss 2018-08-17 23:10:10 +08:00 可以用 vpc 来做 ip 池子。具体做法是把服务器迁移到 vpc 内,然后用内网 slb 配合 eip,实时监控 eip 流量,上来了就换 slb 上的 eip,用 api 可以做到秒级切换,阿里云只说不建议这样用,并没有禁止这么做。 |
Select Language