V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Andy1999
V2EX  ›  站长

当 Apache, Nginx 站点受到严重 CC 攻击,我该怎么办?

  •  
  •   Andy1999 · 2015-05-31 09:16:29 +08:00 via iPhone · 7413 次点击
    这是一个创建于 3466 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,昨天吃饭的时候有人在一个群里at了我,告诉我说要攻击我站点,我看了一下起因和经过,发现是我的一位朋友告诉攻击者我的站点很耐C,让他来CC我试试看。然后我喜闻乐见的手动封了一个小时的IP!因为他没用代理IP C我所以最后抗住了。但是今天早上在线改代码的时候一下子掉线了,看了一下微信监控平台,发现三台负载均衡的主机全部被C宕机了,而且对方用了代理IP,请问现在该怎么办?
    目前暂时切换到了日本的独服上面,也一样抗不住……
    82 条回复    2015-06-03 21:31:01 +08:00
    wy315700
        1
    wy315700  
       2015-05-31 09:21:08 +08:00
    CDN, 或者买高防主机

    CC 攻击没办法的
    Andy1999
        2
    Andy1999  
    OP
       2015-05-31 09:30:32 +08:00 via iPhone
    @wy315700 因为是https 所以目前就知道两家 云盾和VeryCloud 云盾节点被C死了 Verycloud不抗CC 没办法 用着还在扣钱
    thinkxen
        3
    thinkxen  
       2015-05-31 09:32:48 +08:00 via Android
    用csf试试看嘛
    wy315700
        4
    wy315700  
       2015-05-31 09:32:51 +08:00
    @Andy1999 网宿,蓝讯,腾讯云,都是支持HTTPS的,不过要联系客服配置
    imlonghao
        5
    imlonghao  
       2015-05-31 09:33:28 +08:00 via Android
    QQ 叫那个人不要C了
    lhx2008
        6
    lhx2008  
       2015-05-31 09:46:59 +08:00
    不是discuzz论坛么?可以找人做下性能优化什么的,还有防C的防火墙和静态缓存之类的,总之,软件抗C比硬件抗C更有效
    lhx2008
        7
    lhx2008  
       2015-05-31 09:52:55 +08:00
    防火墙的话,有一种是对于多次访问的IP,会显示一个点击继续的页面(静态的),可以有效抗C,不过具体我也没有用过
    yghack
        8
    yghack  
       2015-05-31 10:36:22 +08:00
    我们已经上硬防了
    被人威胁也没办法
    Andy1999
        9
    Andy1999  
    OP
       2015-05-31 11:11:26 +08:00 via iPhone
    @wy315700 腾讯云CDN https已经获得 但是https资源会被缓存成http 然后你懂的
    Andy1999
        10
    Andy1999  
    OP
       2015-05-31 11:11:56 +08:00 via iPhone
    @lhx2008 我是wp个人博客 被c成狗了 云盾死掉一个节点 然后把我拉黑了
    tabris17
        11
    tabris17  
       2015-05-31 11:13:14 +08:00
    流量CC防不住,如果CC耗资源的请求还是可以防的
    x4
        12
    x4  
       2015-05-31 11:15:25 +08:00 via Android
    域名解析到127.0.0.1
    Andy1999
        13
    Andy1999  
    OP
       2015-05-31 11:16:54 +08:00 via iPhone
    @tabris17 目前联系腾讯云做了个高级CC防护,暂时抗住了 不得不说腾讯云的防护还是蛮厉害的
    Andy1999
        14
    Andy1999  
    OP
       2015-05-31 11:17:08 +08:00 via iPhone
    @x4 那不就等同于投降了么
    yangff
        15
    yangff  
       2015-05-31 11:27:38 +08:00 via Android
    如果你这么想的话。。那就提高姿势水平然后入侵回去咯。。
    maoyipeng
        16
    maoyipeng  
       2015-05-31 11:45:31 +08:00 via iPhone
    看accesslog 然后封掉特定的/有规律的请求
    cnkuner
        17
    cnkuner  
       2015-05-31 11:53:29 +08:00 via Android
    服务器防火墙提高封ip时间,或者加访问验证。
    上硬防。
    其实可以自建cdn的,弄点便宜的vps,均衡一下,成本也不会高出太多。对了,c的量大不大?
    Andy1999
        18
    Andy1999  
    OP
       2015-05-31 11:58:06 +08:00 via iPhone
    @cnkuner 上亿的http请求 目前已经用了15台vps了 腾讯云网关也协同防御了 现在暂时抗住了
    cevincheung
        19
    cevincheung  
       2015-05-31 11:59:02 +08:00
    一般我都是检测到有x-forwarded-for头就禁止访问。
    xi4oh4o
        20
    xi4oh4o  
       2015-05-31 12:12:33 +08:00
    推荐 HttpGuard nginx 的一个lua模块,效果极佳。
    twl007
        21
    twl007  
       2015-05-31 12:15:49 +08:00
    mod-security
    msg7086
        22
    msg7086  
       2015-05-31 12:30:43 +08:00   ❤️ 2
    上亿http请求?

    如果每个ip请求量大的话直接喂req-limit和fail2ban呢?剩下的扔给nginx来硬抗似乎还能看?毕竟代理不可能那么多的……fail2ban吃一会儿应该就消停了
    scys
        23
    scys  
       2015-05-31 13:25:41 +08:00
    10 ^ (9) 这个请求量,总感觉不可能长久。
    主要是发出来的发现会被封。

    感觉 @msg7086 的方法是最好的解决方式
    多台负载,坚持ban下IP,应该大概一天后,你的网站就稳定,现在你不停切换,对外的体验更加糟糕。
    Andy1999
        24
    Andy1999  
    OP
       2015-05-31 13:39:35 +08:00 via iPhone
    @msg7086 昨天吃饭的时候就封了一个小时的IP,然后是稍微好点了,今天对方使用了代理IP 然后每个IP量又不大没办法作出判断 现在攻击模式上升到DDoS了 UDP和SYN混合攻击,但是服务器依旧抗住了……
    所以我感觉互联网绑架了我的生活,为了个网站连基本的东西都不能享受了
    Andy1999
        25
    Andy1999  
    OP
       2015-05-31 13:40:49 +08:00 via iPhone
    @scys 代理IP 估计有几千几万个吧 如果一个一个ban 得多久?还有就是对方单个IP连接数不大,IP总数加在一起很可观
    lhx2008
        26
    lhx2008  
       2015-05-31 13:43:56 +08:00
    @Andy1999 我还以为是论坛,wp在nginx前端nginx做个缓存、再上CF,就可以。DD、CC通防
    scys
        27
    scys  
       2015-05-31 13:52:33 +08:00
    @Andy1999 fail2ban是按照日志进行封禁的工具,不用手动干预
    typcn
        28
    typcn  
       2015-05-31 14:01:40 +08:00
    楼主是上海某初中的,服务器是单核的
    由于楼主没有升级PHP,被人用个位数的请求干掉,然后想发个帖子装B。

    解释完毕。
    tobyxdd
        29
    tobyxdd  
       2015-05-31 14:05:41 +08:00 via Android
    @typcn LOL 不过1999应该是高一吧
    kn007
        30
    kn007  
       2015-05-31 14:07:46 +08:00
    我一朋友也被攻击了,最近才停。。
    phoenixlzx
        31
    phoenixlzx  
       2015-05-31 14:13:18 +08:00
    @typcn 你是说之前那个 PHP 的漏洞么...

    不过我觉得好无聊啊,和谁说谁谁谁的网站很耐 C,于是就去发动这么大规模的 CC 攻击了?
    攻击不花成本啊。
    wy315700
        32
    wy315700  
       2015-05-31 14:14:15 +08:00
    @phoenixlzx 有人得瑟,所以就有人不爽了,
    typcn
        33
    typcn  
       2015-05-31 14:22:19 +08:00
    @phoenixlzx 并不是什么什么大规模,如果你的宽带上传够 200KB/s ,就完全可以用bug干死单机/小型集群
    @tobyxdd 年初的时候加群挑衅过一次,被我黑了,人肉了下信息,所以知道这事
    kiritoalex
        34
    kiritoalex  
       2015-05-31 14:28:46 +08:00 via Android
    @typcn 这人也是太跳了…23333333333
    lhx2008
        35
    lhx2008  
       2015-05-31 14:31:55 +08:00
    @kiritoalex 点开楼主的头像,我不得不承认@typcn 是对的~
    Andy1999
        36
    Andy1999  
    OP
       2015-05-31 14:38:44 +08:00
    @typcn 一味地诽谤是没有意义的,我的php版本为5.6.9 Nginx为1.9.1 Apache为2.4.9 另外我对年初的事感到抱歉,对不起!
    Andy1999
        37
    Andy1999  
    OP
       2015-05-31 14:39:16 +08:00
    @scys 谢谢,我稍等去尝试!
    uglyer
        38
    uglyer  
       2015-05-31 14:40:02 +08:00
    @typcn 瞎说,楼主明明说了是高中生 ---一枚15岁的高中生,热爱PHP。
    Andy1999
        39
    Andy1999  
    OP
       2015-05-31 14:40:02 +08:00
    @phoenixlzx 对方是单机dos,第一天我手动拉黑解决,第二次就用了代理ip访问,一下子没抗住。
    jiongjionger
        40
    jiongjionger  
       2015-05-31 14:48:26 +08:00
    单机不用肉鸡怎么可能C得死一个云盾的节点啊,高防都是无限防CC的
    typcn
        41
    typcn  
       2015-05-31 14:50:05 +08:00 via iPhone   ❤️ 1
    @uglyer 当时查他信息的时候还不是...
    前几天看到他站,我就挂了个1mbps的代理来了一发,本来试试有没漏洞,结果直接透过 cdn 打死了.......
    多半是用的一件包之类的,配置有问题or没打补丁
    uglyer
        42
    uglyer  
       2015-05-31 14:55:38 +08:00
    typcn
        43
    typcn  
       2015-05-31 15:05:01 +08:00 via iPhone
    @uglyer 不是,我几乎不玩游戏,他是加我群开启装13+嘲讽模式了。

    嘛,其实我跟他一样大 233
    uglyer
        44
    uglyer  
       2015-05-31 15:11:01 +08:00
    @typcn 高中生不好好读书你对得起你的父母的血汗钱吗,你对得起辛勤培育的老师吗,你对得起为中华之崛起而读书这句话吗 (逃
    geekzu
        45
    geekzu  
       2015-05-31 15:16:33 +08:00 via Android
    @phoenixlzx 就算是CC,攻击成本也不高,http代理1块钱几万个,然后单机就可以造成中等规模的CC攻击
    Andy1999
        46
    Andy1999  
    OP
       2015-05-31 15:19:25 +08:00 via iPhone
    @typcn CDN是VeryCloud 大流量直接拉黑,你试试看直接用脚本压测我的源站,肯定已经修复了
    Andy1999
        47
    Andy1999  
    OP
       2015-05-31 15:20:29 +08:00 via iPhone
    @geekzu 对方IP已经多到一个级别了……我的log飙到4GB 哭晕在厕所
    Laforet
        48
    Laforet  
       2015-05-31 15:23:47 +08:00   ❤️ 1
    你们这样天天D来D去的有意思么

    http://tieba.baidu.com/p/3718214929
    Andy1999
        49
    Andy1999  
    OP
       2015-05-31 15:25:23 +08:00 via iPhone
    @Laforet 求不翻黑历史……
    feuvan
        50
    feuvan  
       2015-05-31 15:36:40 +08:00
    @typcn 朋友,太黑了。。。
    mafuyu
        51
    mafuyu  
       2015-05-31 16:50:16 +08:00
    @typcn 铜芯豪还真是666666666,太黑了23333333。
    wy315700
        52
    wy315700  
       2015-05-31 18:05:25 +08:00 via Android
    把网站关了就行了,等过去了悄悄开
    Andy1999
        53
    Andy1999  
    OP
       2015-05-31 18:16:17 +08:00 via iPhone
    @wy315700 坚决不向恶势力妥协(≧∇≦)
    Anybfans
        54
    Anybfans  
       2015-05-31 18:19:09 +08:00
    @Andy1999 加验证码啊。。
    icreeper
        55
    icreeper  
       2015-05-31 18:19:13 +08:00
    云盾不是只有付费才支持https吗。。。。
    wy315700
        56
    wy315700  
       2015-05-31 18:42:12 +08:00 via Android
    @Andy1999 这么倔,会付出代价的
    hicdn
        57
    hicdn  
       2015-05-31 19:37:44 +08:00
    插条广告,防 CC,找加速乐 www.jiasule.com
    msg7086
        58
    msg7086  
       2015-05-31 20:02:36 +08:00   ❤️ 2
    反正我是没看懂这东西有多难防。
    如果对面来ddos,那前面加硬防反代就好。
    如果对面来cc,WP最简单了放一个cache解决问题,外加fail2ban自动封IP就好。
    如果真有上亿请求的话log应该不会只有4G吧。如果有4G的ban记录的话那IP得超过50万个了吧?
    我真不信对面这么舍得花钱买那么多肉鸡……
    而且真不行还有cloudflare走起呢。

    另外,功夫不好不要××…
    lloovve
        59
    lloovve  
       2015-05-31 20:12:54 +08:00 via Android   ❤️ 2
    弄20个QQ号加他,说自己的网站很耐操,让他攻击,他自己就觉得烦了,最后连你也不攻击了
    evlos
        60
    evlos  
       2015-05-31 20:21:02 +08:00
    - -

    Andy1999
        61
    Andy1999  
    OP
       2015-05-31 20:24:30 +08:00 via iPhone
    @lloovve 我已经上硬防了,无限抗D,独服跑博客,然后人家不理我了233333
    Andy1999
        62
    Andy1999  
    OP
       2015-05-31 20:28:08 +08:00 via iPhone
    @msg7086 我直接上硬防来抗了,独服跑wp,无限抗DDoS。
    log是分布在好几台云服务器/vps上的,我看了一下加在一起有20多个G,懒得看直接删了。
    Andy1999
        63
    Andy1999  
    OP
       2015-05-31 20:28:35 +08:00 via iPhone
    @evlos 所以说已经C不死了23333
    Andy1999
        64
    Andy1999  
    OP
       2015-05-31 20:29:18 +08:00 via iPhone
    @msg7086 另外他是用代理IP dos的,淘宝几块钱上万条,成本不大的
    Andy1999
        65
    Andy1999  
    OP
       2015-05-31 20:29:46 +08:00 via iPhone
    @icreeper 我属于云盾老客户,以前部署过ssl,改版后没有下掉
    RIcter
        66
    RIcter  
       2015-05-31 20:37:07 +08:00   ❤️ 1
    @Andy1999 给 xypcn 道歉干啥 2333
    Andy1999
        67
    Andy1999  
    OP
       2015-05-31 20:44:03 +08:00 via iPhone
    @RIcter 我让他不爽呢呗 退一步海阔天空嘛
    RIcter
        68
    RIcter  
       2015-05-31 21:13:29 +08:00
    @Andy1999 噫,理他干啥_(:3」∠)_这种人_(:3」∠)_
    kn007
        69
    kn007  
       2015-05-31 21:16:54 +08:00
    @msg7086 +1
    我也是wordpress,被人D、C习惯了。。。
    最初因为速度方面,抓我网站做典型推荐出去。然后攻击就来了
    lxy
        70
    lxy  
       2015-05-31 21:34:21 +08:00
    贵圈真乱……
    typcn
        71
    typcn  
       2015-05-31 21:46:00 +08:00
    @feuvan
    @mafuyu 他加我群喷我就算了,我给他挂了个黑页,没删他数据,第二天加我 QQ 来嘲讽我了,完全没有影响嘛云云

    受不了这种人
    Andy1999
        72
    Andy1999  
    OP
       2015-05-31 21:46:51 +08:00 via iPhone
    @RIcter 不管怎么说 他让我了解到了 不要乱用源码这个事实~ 总算是我的老师吧
    geekzu
        73
    geekzu  
       2015-05-31 22:49:39 +08:00 via Android
    @msg7086 wp防CC很蛋疼,之前遇到随机目录随机UA的代理CC,靠缓存能挡住的微乎其微
    typcn
        74
    typcn  
       2015-05-31 23:59:40 +08:00 via iPhone
    手滑登出账号,看到某些被 blocked 人,又登录上了
    因为年初的事所以对 Andy 第一印象很不好,在 v2 碰见了我就顺路 troll 了一下,他 qq 跟找我之后也不说了,毕竟谁都有黑历史嘛,说话态度这么正常,我相信是谁都不会再提这事。

    then 楼主本人都不说啥了,我也没啥计较的,还有人要来故意挑,不知道是不是受了什么不公,上网来发泄?
    Andy1999
        75
    Andy1999  
    OP
       2015-06-01 00:01:19 +08:00 via iPhone
    @typcn 谢谢理解
    Jessica0305
        76
    Jessica0305  
       2015-06-01 00:09:10 +08:00 via iPhone
    我终于好发言啦!献上自己的膝盖给T壕和A壕,莫非两个壕之前存在着某种微妙的关系咩!果然壕性相斥捏~
    tvvocold
        77
    tvvocold  
       2015-06-01 00:20:26 +08:00
    博客的话,建议转移到 Github Page 上,然后用 CDN,这样 CDN 抗不住,Github 来抗:)
    lution
        78
    lution  
       2015-06-01 00:29:22 +08:00 via iPhone
    只有我一个人没听说过什么是CC攻击么?
    Andy1999
        79
    Andy1999  
    OP
       2015-06-01 08:17:40 +08:00 via iPhone
    @lution 能让你CPU boom的一种攻击
    feuvan
        80
    feuvan  
       2015-06-01 14:10:23 +08:00
    @typcn 贵圈真乱
    akira
        81
    akira  
       2015-06-03 20:40:49 +08:00
    @Andy1999 求淘宝几块钱上万条的代理ip
    Andy1999
        82
    Andy1999  
    OP
       2015-06-03 21:31:01 +08:00   ❤️ 1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1039 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 20:55 · PVG 04:55 · LAX 12:55 · JFK 15:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.