作者:匿名用户
链接:https://www.zhihu.com/question/19581905/answer/37711086
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
14 年年初,被迫沦为了一名站群站长,草根站长。在成本投入以及人力、技术均有限的情况下。近一年数个站遭遇无数次 syn 洪水攻击,网站瘫了不说,看着一个个网站流量从高处跌落谷底,然后一步走入没落,心碎之甚。近期也对此做了一些不全的总结。
( ddos 科普省略一万字)
因为是创业+挣外快形式,租的机器都是淘宝每月百元左右(低于百元,加了 IP 后百元上下)的 VPS 、香港美国韩国均有,一般都是 双核 cpu、512M-1G 内存、2M 带宽、硬盘越大越好。
因为做站群,一台机器会视硬盘而定挂 2-3 个站,每台服务器正常的情况下每个月能走掉 500-700G 的流量。
网站采用 centos + kangle + php + 文本DB,从优化程序性能上、生成什么 HTML 静态的技术讨论就免了,因为一旦机器被攻击,你性能做得再强,这样配置的机器基本上是秒死状态。
关于洪水攻击的特征收集是比较重要的,HTTP 头,UserAgent,host 都是一些非常重要的信息。
当被攻击时,第一反映就是去服务器管理面版里重启,然后利用机器重启存活那一瞬间,ssh 登录,粘贴!!!:
tcpdump -XvvennSs 0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 找到 http 请求, 记下来 UA、Host、URL。(于是机器接着挂 T T)
以下是我如何防御洪水攻击的几个方法:
1、借用第三方力量+以其人之D还治其人之机
在中国,你只要被攻击,最大的烦恼其实不是网站不能访问,而是提供服务的 IDC 动不动就要关你的 VPS。所以,一般得知被攻击,取到 Host 主机名以后,我会第一时间去 DNS 里去对对应的域名操作。幸运的是,(暂时)遇到的攻击者一般都只会攻击你的一个域名。例如:他攻击你的http://www.xxx.com ,而你的 xxx.com 是可以正常访问的。
关于操作域名,我有几个手段:
a、呵呵,第一个手段当然是利用 DNS 转发的功能,把 http://xxx.com 转发到 http://www.xxx.com,把流量都给 DNS 服务商(捂脸)
转发一段时间后,收到 DNSPOD 域名停止解析的邮件。
b、第一次看到停止解析了真的会有心碎的感觉耶,但也无济于事,这个时候,我会这样回击,虽然更多的只是个心里安慰。。。。。
2、最实用的杀手锏:网段封杀
最常见有效的防御办法,我想应该就是杀 IP 了吧,因为网站访问量也不是特别高,所以我会在服务器上做 crontab ,用 iptables 每分钟取 IP 的 B段、 C 段 的连接数,超过一定数量就直接 DROP。一旦有新 IP 被 DROP 就会邮件我自己,方便得知以后后续操作。
3、既然 TCP 已经握手了,那么只能从应用层封杀了
因为攻击者的 IP 段巨广、无法 DROP 的 IP 还是会进到应用层的,整个网站都是 PHP 的,绝不能让这些请求进入 PHP 运行的环节。
于是,我们需要从之前拿到的 UA 、 HOST 、 URL 入手,去封杀了!!!
kangle 是一款国产的 webserver,据说是跑静态文件比 nginx 要强。我也没具体测过 kangle 的性能,但是光有 web 管理面版 + 支持 .htaccess,改了配置根本就不需要人工 reload ,在易用层面是要比 nginx 上了一个档次。(我真不是五毛!!!只是最早用于生产环境的一批用户,用了很多年了,生产环境下 windows 下跑 PHP 真心推荐!!!)—- 咳咳,回到题主上来。
kangle 的 web 管理面版里有一个非常实用的功能叫做:请求控制 + 回写数据。
知道 host 和 UA 以后,设置请求控制:
杀掉所有 UA 的访问,同时关掉连接,回写数据:
以前从来没有接触过这些玩意,封禁的手段都是自己这一年一步一步积累下来的。总结的不是很到位,不过还是希望能给大家一些启发。
还有,最近 D 得非常狠的那位大哥,我这几个域名都被百度 K 了,你还不放过我。。。(我服还不行么 =。=)
原文链接:https://blog.csdn.net/chonglicuan1036/article/details/101005907?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169114650316777224432893%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=169114650316777224432893&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-5-101005907-null-null.268%5Ev1%5Ekoosearch&utm_term=%E9%A6%99%E6%B8%AFvps
云探网文章。发布者:ziqiu,转转请注明出处:https://www.zeauo.cn/archives/6776.html
微信扫一扫 