文章起因

今天一个朋友问起我DDOS应该怎么防御,勾起了2020年的一个回忆,安逸的午后和群友在群里聊起了DDOSCC,觉得服务器的负载能力相当强大,防御措施也非常好,管你什么攻击,什么CC我强大的redis都可以顶住,什么DDOS什么注入,什么渗透,能把我撂倒就算你厉害 但是5分钟后的结果瞬间让我知道锅儿真的是铁铸的

嚣张求打

事发过程

1.闪电打击

群里发完消息过了5分钟后收到腾讯云的提示短信,然后马上后台去看,果然,公网IP已经停止了,心中一震精,卧槽、群友真tm迅速
然后网站就已经死了,访问504状态,赶紧想办法处理,寻思着,停止了我启用不就行了? 然后10分钟后我发现事情并没有那么简单,没有启动的按钮,那我就提个工单吧

提示短信

IP状态

2.禁封IP

然而不行,给我反馈的信息是:(您好,CVM服务器的DDOS防护阈值目前默认为5Gbps(内地区域CVM5G,香港区域CVM为1Gbps),触发黑洞后IP将被运营商封禁24小时,无法解封。核实到您的IP*****于:2020-08-27 22:23:19 触发黑洞和封禁,被语音上黑洞之后,腾讯云这边无法干预进行解封,您可以参考使用ddos高仿IP,参考:https://cloud.tencent.com/product/ddos-advanced)简单来说公网IP被运营商封禁了,靠腾讯云出面也是不好解决的,后台一看,霍哟,发送了这么多流量,后面我去了解了一下这个黑洞的概念

当云服务商监测到被攻击,且超出了免费防御的限度后,为了防止攻击流量到达机房的阈值,云计算系统会向上级运营商发送特殊的路由,丢弃这个 IP 的流量,使得流量被就近丢弃在运营商的黑洞中。

想了解网络黑洞概念的可以去百度一下。

攻击数据

攻击数据

攻击数据

3.高防IP

看来靠百度云解决是不行了,不过给了一个链接,参考ddos高仿IP,这是啥玩意?感觉很流弊,可以防御似的。打开链接一看,嚯哟,还要钱呢,5000+,玩尼玛呢,告辞

收费标准

4.思考解决

无奈,只能另想别的办法了,突然灵光一现,我再去买一个计量收费的公网IP不就可以了吗?这样我可以先用着,等禁封结束我再换回去不就可以了。然而,并不行,对于做博客的站长来说,一般都是买的套餐服务器或者搞活动的服务器,就一台服务器,一个公网IP,一般来说都是有绑定关系的,而且黑洞状态的IP也不能解除绑定的服务器,也是要等到黑洞解除了才可以解绑。

客服反馈

4.接受现实

DDOS解释

中文名:分布式拒绝服务攻击

外文名:Distributed denial of service attack

没办法,看来这回是没辙了,沙家浜第二幕:撤退
那就坐等24小时吧,反正服务器是好的,数据什么的都还在,心里也不是很慌,顺便科普了下DDOS的概念和历史。说简单点,就比如电话轰炸,100个人同时不停的给你打电话,正常要联系的人根本就打不进来,或者占线。可以屏蔽这些号码,但是这些号码都是随机的,根本屏蔽不过来,要么就全部屏蔽了,全部屏蔽就导致正常要联系的人也联系不到了。但是对手机本身是没有什么太大影响的,你换张电话卡就正常了,只是原来的号码是一直在被呼叫,无法正常使用。所以DDOS攻击对服务器本身是没有什么太大影响,只是在消耗你的带宽资源,但服务器换IP可不像手机换号码一样简单,会受到许多因素和条件限制。

DDOS科普

DDOS拓建图

5.总结

没有办法挽回,闲着也是闲着,所谓吃一堑长一智,那么就要总结下是怎么攻击到服务器的,查阅了许多资料,DDOS攻击的手段现在还没有特别好的解决方法,要么就是拼带宽,要么就是用一些检测手段来识别后迅速阻断,但是我得出一个结论.

一般都是找到你的IP地址然后攻击的,因为我的一级域名是接了阿里云cdn加速的,所以ping出来的IP地址不可能找到源IP的,但是我有一个做接口的二级域名,没有接任何cdn,还有几个演示页面为了图省事,也是放在了源站IP代理的地址上,ping域名的话就直接是源站IP,所以这次怀疑就是这里出了问题才暴露了源站IP,导致几分钟就被打死了。

目前而言,DDOS攻击并没有最好的根治之法,做不到彻底防御,只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障,将DDOS攻击带来的损失尽量降低到最小。

后记

在无法访问的这24小时内,我做了如下的动作来全面整改以及可能暴露源站IP的地方

1.SSL证书部署也不要怕麻烦

2.整改博客内所有文章的截图,链接,包括一些演示页面的地址

3.在百度云加速特定规则开启访问者方式检查

4.调整ADS防御,CC级别为高,开启DDOS防御,并停用海外域名解析

5.cdn存储的图片和一些资源开启白名单访问,防止疯狂刷走流量

6.更换服务器的公网IP地址,如果不换,那么前面做的动作都没效果了,因为已经知道你的源站IP,可以直接绕过来攻击

以上差不多就是在免费的层面可以整改的内容了,预防一下还是没有什么大问题,如果你有什么白嫖的好方法欢迎下方留言讨论

这里的一个特别提醒:

1.ddos攻击基本只能硬抗,没法防御,所以千万别暴露自己服务ip,套个cdn,要防御高的并且免费可以选择cloudflare,但延迟有点高,按流量计费的cdn建议设置好带宽峰值,避免一次攻击就破产了

最后修改:2021 年 02 月 04 日 10 : 33 PM
如果觉得我的文章对你有用,请随意赞赏