V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tojike
V2EX  ›  程序员

受害者笔记,企业项目千万千万别用腾讯云。

  tojike · 310 天前 · 17822 次点击
这是一个创建于 310 天前的主题,其中的信息可能已经有所发展或是发生改变。

背景:我们是一家游戏发行公司,跟很多小厂商合作。有些项目服务器的成本是我们出的。几十台服务器都搭在腾讯云
起因:服务器被 ddos 一小时不到。
腾讯云:你的 ip 要拥堵一天哈,买高防才能解封,期间不给你换 ip 。
服务器不给换 ip 操作,说是拥堵 拥他妈啊,阿里云随便换。被迫业务暂停了一天买量,那边给出的方案是 copy 镜像,但是不适用我们的业务。
被恶心坏了 p9TiIeO.png p9TiHFH.png

后面不再用腾讯云,服务器会慢慢迁移到亚马逊或阿里云

第 1 条附言  ·  310 天前

可能有些朋友没有get点,这跟被d没关系,这也跟拉黑洞没关系。
我只想知道,当我们被d的时候,是否可以换ip ? 腾讯云我没有自主选择的权力的
阿里云客服回答我是可以的,但是听论坛上的朋友说阿里云也是有这样的情况。我没实际用过,不评价,后面迁移后会加代理服务, 留一手

第 2 条附言  ·  309 天前

发现大家都很喜欢站在上帝视角评论,活该啊、该死啊、谁让你们用腾讯云,谁让你不加负载。
不过我也不在意 互联网本来就是这样,我只能说做项目的时候很多事情不是你一个人能控制或者决定的

当然这里也感谢某些老哥,能给出理性评论的。v站还是有大佬的

这里主要阐述一个问题,腾讯云esc在被d的时候。不给我换ip。而且对面只被d了一个小时,他要封我1天。 解封需要高防,我用的是动态eip哈 。昨天阿里云ESC被打了,进黑洞了。实测换ip一点问题都没有。

论坛里还有腾讯云的利益挂钩者,我想说你们怎么洗都没用,很简单的一个道理,为什么不给用户选择的权利呢?为什么一个另外一个云厂商能做到的事情,腾讯云做不到。大家心知肚明

这里还是感谢老哥提的一些老哥提出有用的建议跟分析

第 3 条附言  ·  309 天前
最后一段话打错字了,抱歉
118 条回复    2023-06-30 10:58:50 +08:00
1  2  
westoy
    1
westoy  
   310 天前   ❤️ 26
阿里云客服在口嗨呢, 他们没买高防也是 null IP 的, 叫进黑洞, 几个小时检测一次, 攻击还在继续就继续塞黑洞里
zapper
    2
zapper  
   310 天前   ❤️ 1
几十台服务器,就给这待遇?直接迁移走算了
likunyan
    3
likunyan  
   310 天前
平时不看新闻的吧,都 2023 年了还在用腾讯云。
likunyan
    4
likunyan  
   310 天前   ❤️ 1
@zapper 70 几台服务器(之前公司)在阿里云那边也是狗一样,没差的。
zuosiruan
    5
zuosiruan  
   310 天前
亚马逊吧
rainfox
    6
rainfox  
   310 天前
不能买负载均衡器(走内网)或者搞个代理 /CDN (走内网)转发一下?
tojike
    7
tojike  
OP
   310 天前
@rainfox 服务器不是我们自己部署的,只是成本在我们这边,背景那里有讲到,主要是这个东西要提前告知 CP 游戏服务端那边弄,而且 ddos 都是放假时候打得。打 1 小时 封你 1 天
yagamil
    8
yagamil  
   310 天前
没有 cdn ?
yrj
    9
yrj  
   310 天前   ❤️ 10
我感觉商人都一个德行,以后留一手吧,前面在放一个代理服务器,被 d 了就直接域名重解析
tojike
    10
tojike  
OP
   310 天前
@yagamil 有些项目有 有些没有,但事实是被 d 的话。cdn 没啥卵用
bug123
    11
bug123  
   310 天前   ❤️ 1
阿里云也是这样的,我之前服务器在阿里云也被打过,一打就黑洞几个小时。
guo4224
    12
guo4224  
   310 天前
为什么觉者别人都是傻子呢?
worldquant
    13
worldquant  
   310 天前
你是懂套路云的
kiduu
    14
kiduu  
   310 天前
不买高防似乎在哪都一样吧,没有被打过不太清楚具体的规则。但是阿里也是黑洞吧。游戏行业不是默认买高防机器部署吗?不然同行,卖高防服务器的,灰黑产随便打一下就死了
opengg
    15
opengg  
   310 天前 via Android   ❤️ 1
双机房热备,cdn 备份。
被打的时候切 cdn 链路,走 https 协议,虽然比裸的 udp 慢些,但是不会死。
cherryas
    16
cherryas  
   310 天前
emm,游戏行业不是默认会被打吗? 阿里云被打进黑洞不也封吗, 起码腾讯云还有个 30 块钱上限 10G 流量但是可以无限解封的高防呢.
lyhiving
    17
lyhiving  
   310 天前
你居然还说阿里云?
这个香港区遭遇滑铁卢,居然还有人要为阿里云洗地。
腾讯云是差,但是你也可以复制镜像从新更换的
woshipanghu
    18
woshipanghu  
   310 天前   ❤️ 1
阿里云被 d 了 也是直接拉黑 同时你的客户经理马上会给你打电话推向防 d 产品
之前就被恶心到了
阿里云貌似出了一个按 d 的量付费,不需要包月包年的那种
takashiki
    19
takashiki  
   310 天前
@cherryas 这个是在哪里的?我之前被 DDoS 没有找到腾讯云有这么便宜的高防
Solo2000
    20
Solo2000  
   310 天前
域名备案后,迁移服务商都难。 都是被鱼肉的
star7th
    21
star7th  
   310 天前
腾讯云阿里云都是这样的。并不支持腾讯云这样。
我感觉这个更多是你们负责弄服务器的人在架构上的锅。架构上,换个负载均衡入口 ip 就可以,理论上只会中断半个小时内。
Huelse
    22
Huelse  
   310 天前
换亚马逊云一样的,有时候那个客户经理像是听不懂普通话,到时候你更难受
cherryas
    23
cherryas  
   310 天前
@takashiki 轻量服务器才可以用
Kinnice
    24
Kinnice  
   310 天前   ❤️ 7
AWS/阿里云都是一样的,除非买高防,不然都是一样的处理策略。等你下一篇受害者笔记。
liuxingdeyu
    25
liuxingdeyu  
   310 天前   ❤️ 3
你猜那么多 ddos 都是谁搞的
tonystarkgz3
    26
tonystarkgz3  
   310 天前
阿里云进黑洞一样一进就是几个小时
bbbb
    27
bbbb  
   310 天前 via iPhone
阿里云一样,之前公司项目压测,没有报备,直接进去找他们的人也说拉不出来。。。
tiedan
    28
tiedan  
   310 天前
很多 ddos 都是自产自销的
haoba
    29
haoba  
   310 天前
就是单纯为了泄愤而已,腾讯云人家研发时没有考虑?
自己的问题多考虑一点。
KakuCicada
    30
KakuCicada  
   310 天前
所有云厂商被 D 都是这样操作的,不只是腾讯云
zhengkk
    31
zhengkk  
   310 天前
@likunyan #3 啥新闻?不是阿里云香港机房的事情么,腾讯出啥事了?
xmumiffy
    32
xmumiffy  
   310 天前
都一样的,坐等下个月第二个受害者笔记
ByteCat
    33
ByteCat  
   310 天前
都一样啊,阿里云这个业务不熟悉吧,你被打就进黑洞
hutoer
    34
hutoer  
   310 天前
我去看阿里云后台管理和阿里云文档,结论:
1 、ECS 只能在绑定 IP 6 小时内换 IP
2 、包年包月 EIP 不支持更换 IP 地址,如果需要更换,可以重新购买 EIP 。

op 重新购买 EIP 符合你的需求吗?
shwnpol
    35
shwnpol  
   310 天前
外行人问一下,这个 ddos 会不会就是腾讯自己干的?发现你是游戏公司的机器,就来打你,然后拉黑要保护费?
dif
    36
dif  
   310 天前
亚马逊其实又不是不能用,国内云都惯的臭毛病。
LudwigWS
    37
LudwigWS  
   310 天前
腾讯的产品还敢用?微云多少人的照片被清空了
Ashore
    38
Ashore  
   310 天前
@liuxingdeyu 他们自己监守自盗?
tojike
    39
tojike  
OP
   310 天前
@hutoer 是满足我需求的,腾讯云那边用的也不是公网 ip 是弹性 ip 哈,重新买了一个还是不支持更换,那边给的理由就是 ip 拥堵。在放假被 d 没有 CP 研发的支持下,再加上没有设计代理服务器。我们就只能眼睁睁的看着,镜像这种我们业务不支持
neroxps
    40
neroxps  
   310 天前
@Ashore 当 KPI 考核下来,这个月业绩可能不达标,你会怎么做。
neroxps
    41
neroxps  
   310 天前   ❤️ 1
@shwnpol 腾讯云:“没有证据的事小心南山法院见哦。”
nightwitch
    42
nightwitch  
   310 天前 via Android
等下一篇 亚马逊 /阿里云的控诉文。 被打到哪都是这待遇
lawler
    43
lawler  
   310 天前
阿里云也是进黑洞俩小时。会有短信通知。
自从买了负载,再也没出现过这种情况。
wxdiy
    44
wxdiy  
   310 天前
我们也是游戏发行哈,用了 6 年腾讯云了,沟通还正常,估计是大客户的原因。
theguagua
    45
theguagua  
   310 天前
@shwnpol 腾讯:南山必胜客等你
wxdiy
    46
wxdiy  
   310 天前
@wxdiy 应该说,一开始就作镜像,然后直接迁移服务器应该很快吧。我们的迁移一个服务器估计在半个小时内
yc8332
    47
yc8332  
   310 天前
竟然没有 cdn 。。
tigerstudent
    48
tigerstudent  
   310 天前
@neroxps #40 按这么猜想法,全世界没好人了?
clives
    49
clives  
   310 天前
这种重要的业务还是得多绑几个辅助网卡和弹性 IP ,当然也要考虑被 D 和 CC 的处理预案,不然出问题只能抓瞎。
IDAEngine
    50
IDAEngine  
   310 天前
客户端内置 httpdns ,动态 IP
ToughGuy
    51
ToughGuy  
   310 天前   ❤️ 31
1. 攻击者知道各家云厂商的 DDoS 黑洞策略,一般都是遭受攻击超过基础防护的一定阈值或时间后被黑洞 N 小时,所以攻击者只需要较低的成本就能实现拒绝服务的目的。
2. 任何云厂商不可能无限给你换 IP ,如果你是个体用户并且频繁被攻击甚至有可能会被云厂商劝退。
3. 最近几年国内游戏在上线节点被攻击勒索是常态了,你们游戏的玩家群、社区都有攻击者的眼线在里面,他们专们门针对游戏工作室(搜索: ACCN 组织)。
4. DDoS 高防确实很贵,但是比起游戏的研发、运营成本算是比较小的一部分,大部分游戏其实只要熬过上线那段时间后面会明朗许多(游戏赚钱那么这部分成本无所谓,数据不好可能就直接下掉了),所以该交的保护费还是得交,但是绝对不要把钱给黑客。
5. 各家云的防护产品一般分为两种, 机房原生防护和代理高防,原生防护的优点是对后端无感(透明接入),缺点是防护带宽有上限,一般在 200~300Gbps 不等 。代理高防理论上可以到 T 级防护,缺点是但是可能需要对后端进行一定的改造,而且会引入额外的延时,所以对实时性要求高的游戏影响较大。
6. 对于后端架构设计而言最好是假定将来的服务前面会根需要随时增加或去除一层转发,不管是负载均衡器、还是代理高防、还是 WAF ,这样可以备不时之需,而且可以做到相对较低成本的防护接入(防护挂载负载均衡上,再转发到后端, 这样来减少防护 IP 费用)


以上是一个运维的粗浅看法。
encro
    52
encro  
   310 天前
哈哈,

阿里云自己随便换 ip ,这个没问题,除了有总数限制。

腾讯云应该也有动态 IP ,应该也可以啊。
dzdh
    53
dzdh  
   310 天前
搭车问 这种情况是不是只有上 cdn 了
tabliu
    54
tabliu  
   310 天前   ❤️ 2
高防的作用并不大,现在流量放大的 d 随随便便就能打几十个 G,参照阿里云和腾讯云能抗这个量级的要几十万一个月。建议从技术手段上设计被 d 了怎么办。
1 、被 d 一般是 d ip ,不是 d 域名。准备多套负载 ip 进行 failed over 替换
2 、客户端层面进行失效检测,配置多套域名轮询
byteroam
    55
byteroam  
   310 天前
我觉得是活该,作为一个程序员不是应该自觉抵制腾讯吗,我从来就不用任何腾讯的东西。
fyooo
    56
fyooo  
   310 天前
作为外行,想请教一下如果套了类似 cloudflare 的话,可以避免这类情况吗?
tojike
    57
tojike  
OP
   310 天前
@encro 腾讯云不可以,我们用的就是动态 ip ,他不给你换。起码我的情况是这样的,用户没有自主选择的权力
dnsaq
    59
dnsaq  
   310 天前
1 、流程都是逐步完善的,诉求得不到解决,只能说钱充少了。
2 、立项之初没有考虑过吗?直接暴露源站,被打不是活该吗。
jimrok
    60
jimrok  
   310 天前
为啥不多搞几个静态的 IP 呢,系统自动切换呀。通过注册服务器将服务调配到新 ip 上不就行了吗?
yufeng0681
    61
yufeng0681  
   310 天前
@ToughGuy 51 ,蛮全面的,现在商业环境有点变坏了。 有人发起 DDos 攻击,不是网警和云服务厂商协作,把坏人逮住,而是要商户租新的服务 [类似有黑社会在闹事,物业建议你请保安保护你人身安全]

防止 DDos 攻击,只能出软方案,在产品做大之前,就要设计好多个 ip ,多路由,走代理访问服务器的安全方案。 [增加成本] 买服务是不可能的,相当于一辈子交保护费
mxT52CRuqR6o5
    62
mxT52CRuqR6o5  
   310 天前
游戏如果实时性要求高的话,不太好整代理吧
maomaosang
    63
maomaosang  
   310 天前
关注一下。
一楼的解释有点问题,阿里云在 IP 进黑洞之后是允许换 IP 的,是再买一个绑上,而不是“以旧换新”,这是一个廉价的解决问题的方式,我操作过(给 SLB 换 IP )。
当时遇到攻击之后阿里云第一时间忽悠我买了高防 IP ,但是高防 IP 是是个新的 IP ,而不是在被攻击的 IP 上加高防。但当时的业务需求是最好不换 IP ,如果非要换,可以接受换 IP 车轮战,所以高防 IP 纯粹是白花钱,后来找阿里云工单几个来回把高防 IP 退了,好几万。
crazyweeds
    64
crazyweeds  
   310 天前
@fyooo 可以,但是国内的话,套这种成本巨高。具体产品名字忘记叫啥了,每家叫法不太一样。
zt5b79527
    65
zt5b79527  
   310 天前
@shwnpol 理论上来讲,有可能。实际来说不太可能,这个要是被发现了,就是天大的问题,要判刑的。
而且想干 /正在干这种事的人或者组织太多了(敲诈勒索、恶意攻击等),根本不需要云厂商自己脏自己的手。
再换个角度来说,其实云厂商只需要在防御的时候,稍微消极一些,你根本无从知道,只能乖乖交钱。
encro
    66
encro  
   310 天前
@maomaosang

对,我当时就是这样操作的,有四个 IP ,两个被打趴,换第三个就好了。阿里云不能自己买几个 IP 自己换?
shengyu
    67
shengyu  
   310 天前
买个四层 CLB 呢,提前绑定几个 IP 。
Ansen
    68
Ansen  
   310 天前
阿里亲测是可以不断的换 IP
Ansen
    69
Ansen  
   310 天前
@Ansen #68 我换了几次就攻击继续,然后我套上了 cloudflare 的 cdn 就消停了
Jame00001
    70
Jame00001  
   310 天前
@liuxingdeyu 我猜只要建服务就会被 ddos ,我的个人项目就是,刚在测试阶段就被 ddos ,也不知道黑客怎么找到我的
Jame00001
    71
Jame00001  
   310 天前
@tigerstudent 实际上哪有黑客无聊到不图任何利益随机打人。唯一获利的就是他们自己
joesonw
    72
joesonw  
   310 天前 via iPhone
在国内做发行不买高放还是蛮厉害的,即使不买腾讯云的也要买其他的套前面呀。
wy315700
    73
wy315700  
   310 天前
新买一个 IP 挂上去不就行了
Masoud2023
    74
Masoud2023  
   310 天前
如果只是纯 http 流量的话前面套个 cf 那种东西会不会好很多,不知道国内有没有这方面的设施
ndl8788
    75
ndl8788  
   310 天前
来试试我 大移动云呢
fiypig
    76
fiypig  
   310 天前
个人觉得 只能切高防
leido
    77
leido  
   310 天前 via Android   ❤️ 2
@byteroam 不抵制百度拼多多 360 字节,你要抵制腾讯我觉得非常不可思议
fcoolish
    78
fcoolish  
   310 天前
国内 6
zeusho871
    79
zeusho871  
   310 天前 via Android
看看怎么业务架构,可以高防抗揍,分流到阿里云业务处理,非广告,可以看看快快和德讯,这两家一直在用,挺不错的。
xuxuxu123
    80
xuxuxu123  
   310 天前
阿里云被 Ddos,关的只是公网,然后内网依旧可以用;可以买服务器或者 nat 做内网转发,服务 ip 改为新买的服务器或者 nat 的公网 ip 就可以
Aloento
    81
Aloento  
   310 天前
我的建议是上 Azure
chempotato
    82
chempotato  
   310 天前
推荐 aws
leenhawk
    83
leenhawk  
   310 天前
@Masoud2023 cf 好像付钱上企业版就能上国内加速了,一个月好像是 300 刀起?
CoderLife
    84
CoderLife  
   310 天前
问一个:
请问楼上用的亚马逊的, 亚马逊是怎么处理 ddos 的
azure2023us559
    85
azure2023us559  
   310 天前
歪个楼,v 站 /taobao/baidu/google 是如何解决 ddos 的?

ddos 问题,为什么运营商不主动作为?提供一个稳定的网络带宽和环境,是运营商应尽的义务。
yunhui
    86
yunhui  
   310 天前
被 D 在哪里都一样~~~~
neroxps
    87
neroxps  
   310 天前 via iPhone
@tigerstudent 我尊重物种的多样性
zdkk
    88
zdkk  
   310 天前
腾讯云神业务:个人账户可购买域名和服务器,但是个人账户不支持域名备案。(醉了........垃圾云)
kingjpa
    89
kingjpa  
   310 天前
@shwnpol
@tigerstudent
云服务商自己可能不会,但不代表代理商不会这样干。

据我所知的是 某莆田黑心搜索引擎的本地代理商 就有小黑屋专门点客户竞价关键词。
misty8873
    90
misty8873  
   309 天前
来 aws 么》〉》〉
aoaoemoji
    91
aoaoemoji  
   309 天前 via Android
还好我就 56 台,华为云,阿里云,不用腾讯云,垃圾玩意儿,也是被 d 的,迁走了
bobryjosin
    92
bobryjosin  
   309 天前
@azure2023us559 仗着带宽大硬抗,国内发生 ddos 是运营商黑洞的,不然一个节点负载过大直接瘫痪还会影响自家业务,云提供商只是负责通知你,这东西不是作不作为的问题,是你压根没法控制,清洗流量的前提是你有大过攻击流量的接入带宽和识别异常流量的能力,这部分只能通过增大与运营商的互联带宽去解决,而且这部分就是收费的,为什么国内的高仿这么贵就是这个原因,运营商源头卡死成本了,国外大部分都是 cloudflare ,带宽成本非常低,随便就是 G 口,扛个几个 T 一点事情没有,你猜为什么 warp 让你白嫖,薅了这么多他依然免费,因为这些成本可以小到忽略不计。
zhangbohun
    93
zhangbohun  
   309 天前
想起腾讯云的 MQ 产品( ROP )曾把我司技术部折磨地死去活来。。。
pengtdyd
    94
pengtdyd  
   309 天前
云厂商可能永远也没办法解决的问题:
1.数据安全问题,如果发生此类问题,云厂商永远没法自证清白,一旦发生信誉就会受损。
2.收费问题,前期先少收费甚至是不收费的完成 KPI ,后期迫于营收的压力开始提高收费标准。
3.如果发生攻击,无法证明是真的黑客还是自己捣鬼,对于客户来说大部分还是相信后者。
4.迁移问题,尤其是使用了云函数的用户,迁移成本巨高,随着时间的推移慢慢变成了被圈养的韭菜。

其实云服务还是可以用,但是关键数据一定不能上云,否则后患无穷。甚至之前还出现了,云服务厂商能直接看到用户数据内容的事情(未经考证),所以关键数据要自己牢牢的握在手里,业务服务今天放这个云,明天放那个云无所谓。
leokun
    95
leokun  
   309 天前
@shwnpol 感觉不会,这被发现了直接原地解散
daimaosix
    96
daimaosix  
   309 天前 via Android
不买高防哪里都一样,前面买个高防服务器做代理节点转发,游戏客户端内置 HTTPDNS ,现在高防机器一个月也就一两千,云主机藏后面
HankLu
    97
HankLu  
   309 天前
腾讯太不地道了
frankies
    98
frankies  
   309 天前 via Android
你这玩法在哪都一样的。遇到 DDOS ,云服务商不停了你的,就会影响到别的用户。这不是腾讯云的问题。
你这个行业 DDOS 多就自觉多出钱上高防,还有啊,为啥你们客户的服务搭载在你们服务器?阴谋论一下,人家知道这行运维是个老大难,看你们愿意背这个风险价钱也合适就和你们合作了,出了事你们担着。要是我还会在合同了要求你们保证高可用否则 n 倍赔偿,这就是市场经济。
商业从来不是人情世故,是打打杀杀。
klo424
    99
klo424  
   309 天前
讲个笑话,我们都是人工迁移项目和数据[笑哭]
Jhma
    100
Jhma  
   309 天前
DDOS 是有流量清洗的,,腾讯云叫大禹系统,只是价格不便宜,其他云厂商和 CDN 提供商一般也有清洗服务
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3320 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms · UTC 13:34 · PVG 21:34 · LAX 06:34 · JFK 09:34
Developed with CodeLauncher
♥ Do have faith in what you're doing.