今天明月给大家详细分享一下我的博客是如何免费抵御了长达一个多月的 DDos/CC 攻击的,在【现在 DDos/CC 攻击门槛低的可怕!】一文里明月就说过现在 DDos/CC 攻击几乎是没有门槛的,任何一个老鼠屎在群里看到你的博客都可以轻松便捷的发动一次 DDos/CC 攻击,碰到个嚣张心黑的还会在你被攻击后,联系你给你推销个高防服务器、高防 CDN 啥的赚点儿小钱钱,然后转过头就骂你“傻逼”,如果你不买那就攻击继续直到你屈服为止(有站长真实经历爆料,绝非杜撰)!
在【 揭露一帮在 QQ 群里潜伏攻击别人网站的老鼠屎(持续更新)】一文里明月有专门曝光过,建议大家在 QQ 上碰到尽量绕行或者拉黑就是了。其实,DDos/CC 攻击技术没啥深奥的东西,境外很多平台上都提供免费的 DDos/CC 攻击服务,一般要攻击一个网站都是先用 CC 攻击测试一下是否有 CDN 保护?如果没有 CDN 保护一次几十秒的 CC 攻击就能获得网站服务器的真实 IP 了,有了真实 IP 就可以有针对性的发动 DDoS 攻击了,只要 5 分钟以上针对真实 IP 的 DDoS 攻击就可以让你的服务器宕机或者被运营商强制黑洞禁止使用了!就算你有 CDN 服务,也可以加大 CC 攻击频率和时间击穿你 CDN 的 WAF 造成 CDN 回源服务器(没有 WAF 的 CDN 或者免费 CDN 比较常见的)同样可以获得服务器真实 IP,无非是多些时间而已!
什么是 DDoS (拒绝服务) 攻击?
拒绝服务(DoS)攻击是一种尝试对合法最终使用者进行恶意攻击,以影响其目标系统(例如网站或应用程式)可用性的行为。攻击者通过控制大量“肉鸡”或服务器组成的殭尸网络,对目标瞬间发送海量请求,从而佔用大量网络资源,瘫痪网络,阻止正常用户的访问。DDoS 攻击是最常见的网络攻击方式,遭受攻击时会引起带宽堵塞,导致服务中断,造成直接的经济损失和间接的声誉受损。
DDos/CC 攻击带来的危害是根据服务器宕机和黑洞时间长短来决定的,理论上超过 24 小时就会影响站点 SEO 了。如果网站有用户粘度的话,损失和危害性就不可估量了。当然就明月的经验和站长们的反馈来看,一旦被攻击过一次,随后会有更多次的攻击,因为老鼠屎们都喜欢找软柿子捏。所以,今天明月分享的这个免费抵御 DDos/CC 的方法希望大家认真阅读理解,融会贯通的运用到自己的服务器、网站上,明月实测效果是非常棒的,至少保证不会带来超过 24 小时的危害,并让攻击者懵逼到怀疑人生。为了保证大家的利益,所以本文贵仅限注册登录用户积分兑换阅读,因为老鼠屎们是无处不在,就他们的智商一般也很难理解和学习到精髓的,看了在是浪费流量!
什么是 CC 攻击(ChallengeCollapsar)?
CC 攻击是 DoS 攻击的一种常见类型,主要是针对性的网页目标攻击,攻击者使用模拟大量多个使用者正常访问或大量连线目标动态网页,并不断地向目标服务器发送大量数据包,制造大量的查询动作来访问其后台,透过不断撷取资讯进而消耗目标伺服器 CPU 资源,导致瘫痪伺服器,造成拒绝服务。
CC 攻击方式较为简单,攻击者基本有统筹(挟持)上百台母机的能力,同时在机器提供多组个 IP,并设立攻击软体作业,在同一时间发送大量数据包至针对性的网页做目标服务器资源耗尽,直接造成网站资源耗尽服务器直接当机,无法服务。
明月免费抵御 DDos/CC 攻击的方法其实也不是很复杂,明月今天教给大家的更多是原理和思想上的应对方法,并不涉及过多的实操,需要具备一定的 Linux 基础知识和实操经验的,主要就是需要大家重视和了解下面这几点即可:
一、隐藏服务器真实 IP 的重要性和必要性
就现在这种 DDos/CC 攻击门槛狗能操作的年代,如果你的服务器还在“裸奔”那就是坐等人家来攻击你的节奏,而隐藏和保护自己服务器的 IP 也非常的简单,很多年前明月都在提倡大家给网站上个 CDN 的时候就专门讲到过其中一个优点就是能很好的保护和隐藏服务器真实 IP,所以就不再赘述太多了!要提醒大家的是,在使用 CDN 的时候一定要慎用所谓的搜索引擎回源,因为这个会让仿冒搜索引擎爬虫轻松的在你使用 CDN 的情况下依旧会获得你服务器的真实 IP,现在的搜索引擎爬虫已经完全不会受 CDN 影响了,无论是谷歌、百度官方都宣称过,明月也实测过 CDN 下收录和排名都不会受到任何的影响的。
在有了 CDN 后,还有一个泄露服务器 IP 的地方就是 DNS 的 A 解析记录,有些新手站长喜欢在 DNS 里保留 1-2 个 A 解析到源服务器 IP 给搜索引擎(一般这种国内 DNS 服务里比较常见,如:阿里云 DNS、腾讯 DNSPod 等),这个跟上述说的一样完全没有必要了,建议尽早删除为宜。
更多有关泄露服务器真实 IP 的地方,明月都汇总在【现在 DDos/CC 攻击门槛低的可怕!】一文里了,也都给了对应的解决和防范手段,建议大家多看看自己排查一下。
二、DNS 多线路解析的原理以及实现
DNS 多线路解析这个一般是指国内 DNS 解析服务的,国外的 DNS 解析是没有这个说法的。具体原理就是由 DNS 根据来源请求 IP 自动分配解析到指定的线路上,这个线路可以是某个 IP,也可以是某个 CDN 的 CNAME 解析记录。以阿里云 DNS 多线路解析为例:
如上图所示,可以看到阿里云 DNS 多线路包含默认(全部线路)、中国联通、中国电信、中国移动、中国教育网、境外以及百度、必应、谷歌三个搜索引擎。
我们就可以利用 DNS 这个多线路解析原理,借助一个或者 N 个免费带 WAF 的 CDN 来分线路解析以达到缓解 CC 攻击的流量压力,如:解析默认给阿里云 CDN 或者火毅盾 CDN 、解析中国联通给上海云盾 CDN 、解析中国电信给奇安信网站卫士 CDN 等等,这样以来无论 CC 攻击攻击使用了多少国内代理 IP 肉鸡都会被这个多线路解析根据 IP 来源区分解析到不同的 CDN 上了,每个 CDN 受到的 CC 攻击量自然也就被降低和缓解了。毕竟免费带 WAF 的 CDN 并不是没有流量上限的,一旦造成大批 IP 节点宕机,管理员还是会强制回源造成源服务器 IP 直面 CC 攻击了,这算是个小技巧而已,只要理解了原理实施起来还是很容易的,并且这种多线路解析可以随时的暂停和启用,平时只需要保留默认线路解析即可,发现有大量 CC 攻击的时候再去开启就行了。
低门槛的 DDos/CC 几乎是所有老鼠屎们的终极技能了,而这些 DDos/CC 攻击其实都是免费零成本的,既然是免费的提供攻击的肉鸡 IP 自然也大部分都是非常廉价的境外 IP 了,所以明月一直都在建议大家即使国内服务器也要套个境外 CloudFlare 这样的 CDN,主要目的就是借助多线路解析里“境外”线路解析给 CloudFlare,让 CloudFlare 去拦截屏蔽 90%以上的 CC 攻击,效果几乎是立竿见影的,否则稍微大一点流量或者持续时间长一些的 CC 攻击国内免费的 CDN 真的是抗不了多久的。
总结下里,DNS 多线路解析的运用其实就是让境外线路解析到 CloudFlare 和国内多线路分散解析到不同免费 CDN 以达到缓解 CC 攻击的压力,而其中 CloudFlare 可以拦截屏蔽掉 90%以上的攻击流量,剩下的 10%国内任意的免费带 WAF 的 CDN 都可以轻松应对了,阻挡住 CC 攻击就可以保证国内免费 CDN 不会被击穿给强制回源,服务器自然也就稳如泰山了。
三、CDN 原理和灵活运用
CDN 是干啥的,估计现在大家都知道了,明月很长一段时间使用 CDN 的目的都是安全防护为主的,主要就是 CDN 可以很好的隐藏服务器真实 IP,并且明月尤其喜欢使用愿意公开 CDN 节点 IP 地址段的免费 CDN ,因为可以借助 iptables 这种基于 Linux 内核的防火墙来限制只有 CDN 节点 IP 才能回源请求服务器的 443/80 端口(这两个端口分别对应着 http/https),这等于是禁止一切非 CDN 节点 IP 地址段直接回源请求服务器了,自然也就没有泄露服务器真实 IP 的风险了,有兴趣的站长可以参考【使用 IPSET 添加 CDN 节点 IP(IPv4/IPv6)到防火墙白名单】一文里说的就是具体的实操,要注明一下的是这个方法在宝塔下没法实现,甚至可以说很多面板上都没法实现,最高效稳妥的就是控制终端上可以轻松的实现(明月代维的服务器上目前都已经实现了!)
除了上述说的运用还有一个就是CDN 可以快捷轻松的改变回源 IP 地址,并且是实时生效还没有任何泄露的风险,甚至可以在被 DDos/CC 攻击的时候,借助修改 CDN 回源 IP 将攻击引到指定的目标 IP 上去,比如:攻击者们自己的网站服务器 IP(比如:明月曝光的老鼠屎们自己装门面的博客网站 IP 地址等),不过这个最好是在 CloudFlare 上用,国内 CDN 就尽量不要用了。这会让攻击者懵逼到怀疑人生的,废了半天劲儿击穿了 CDN 终于回源了,一看 IP 地址好熟悉的感觉,如果是个无脑二货弄不好直接就 DDoS 攻击了,哈哈,那结果想着都酸爽!!!很多时候不要以为老鼠屎们有多高的技术,都是废柴而已,自己的网站和服务器拉跨的要死,也就是拿 DDos/CC 攻击出来装个逼,骗点儿小钱钱而已。
四、泄露 IP 后遭受到攻击时的应对方法
上述说的都是没有泄露服务器真实 IP 时防御 DDos/CC 攻击的,如果已经泄露了服务器真实 IP 并遭受到了攻击该怎么办?另外就是如何通过 DDos/CC 攻击来判断是否已经泄露了服务器真实 IP 呢?
首先,判断是否已经泄露了服务器真实 IP 可以通过观察 Nginx 日志和 CDN 攻击统计来判断,Nginx 日志里有大量重复 IP 高并发的请求和 CDN 的 WAF 拦截率降低都是泄露了服务器真实 IP 造成的(还有一种就是直接被 DDoS 攻击造成服务器黑洞禁止使用了,也是泄露 IP 了已经),这时候 CDN 的防护作用几乎是已经没有了,最好的解决办法就是迁移网站到另一个 IP 的服务器上,在 CDN 里修改一下回源 IP 到这个 IP 上,期间一定要注意排除所有泄露服务器真实 IP 的地方(参考【现在 DDos/CC 攻击门槛低的可怕!】一文),至于迁移网站这时候平时那种导出备份、下载、上传的方法就效率太低了,如果被 DDoS 攻击造成服务器黑洞禁止使用了,就更是没有用了,因为你连登陆宝塔后台都登陆不了,明月采用的方法是使用 Linux 强大的 sftp、scp、rsync 命令来快速迁移网站,就明月自己博客大概 3G 的数据量最多也就是 5-10 分钟内即可顺利完成迁移,如果迁移目标服务器和被攻击服务器都是同一个云服务商的话,速度会更快(3 分钟内完成)。
用 rsync 迁移网站简直就是乾坤大挪移呀!
像 WordPress 、Typecho 这类需要数据库支持的博客系统迁移网站时候甚至都可以不用迁移数据库,利用数据库远程连接账号链接被攻击服务器上的数据库,只需要迁移网站文件到同一个云服务上的另一个 IP 服务器上即可,借助 rsync 实现网站文件自动同步镜像就行了,这个方法甚至在被攻击服务器已经黑洞禁止访问情况下都可以(前提是两个服务器必须是同一个云服务上),这带来的好处是不影响你更新文章、修改网站这些操作,文件后台都自动同步,数据库用的本来就是同一个数据库,是不是很另类的玩儿法?明月就是运用这个方法这一个多月来几十次的 DDos/CC 攻击都形同虚设,老鼠屎们都怀疑人生了,在 Telegram 群里各种抱怨,哀鸿一片!嘎嘎!
“ 黑洞 ”是什么?
黑洞是指服务器受侵犯流量超过本机房黑洞阈值时,云核算服务商屏蔽服务器的外网访问。当服务器进入 黑洞一段时间后,假如体系监控到侵犯流量停止,黑洞会自动解封。
进入“ 黑洞 ”了,该怎么办? 因为黑洞是各大云核算服务商向运营商(联通、电信、移动)购买的服务,而运营商对黑洞免除时间和频率 都有严峻的限制,所以黑洞状况无法人工免除,需耐性等候体系自动解封。
为什么需求 “ 黑洞 ” 战略? DDoS 侵犯不只影响受害者,也会对整个云网络形成严重影响。而且 DDoS 防护需求本钱,其中最大的成 本就是带宽费用。 带宽是云核算服务商向电信、联通、移动等运营商购买,运营商核算带宽费用是不会把 DDoS 侵犯流量清 洗掉,而是直接收取云核算服务商的带宽费用。 云核算服务商在操控本钱的状况下会尽量为自己的用户免费防护 DDoS 侵犯,但是当侵犯流量超出阈值时 ,云核算服务商会屏蔽被侵犯 IP 的流量,减少云核算服务商的带宽本钱。
黑洞需求多久才会自动免除 服务商一般默许的黑洞时长是 2.5 小时,黑洞期间不支持解封。实践黑洞时长视侵犯状况而定,从 30 分钟到 24 小时不等。黑洞时长首要受以下要素影响: 侵犯是否持续。假如侵犯一向持续,黑洞时间会延伸,黑洞时间从延伸时间开始从头核算。侵犯是否频频 ,假如某用户是初次被侵犯,黑洞时间会自动缩短;反之,频频被侵犯的用户被持续侵犯的概率较大,黑洞 时间会自动延伸。
五、沉着应对,不要病急乱投医
最后,明月要提醒大家的是,一旦发现自己网站被攻击切记慌乱,如果担心经济损失可以停止解析和关闭服务器来缓解被黑洞的风险,然后要迅速的排查泄露 IP 的地方及时的修补这个漏洞,如果有闲置备用的 IP 服务器就快速的迁移走好及时的恢复站点访问,记得一定要有 CDN 并利用 CDN 回源来变更回源 IP,DNS 里的 A 解析记录暴露的风险很大,只是个时间问题而已。被攻击后不要相信陌生人“及时”给你推荐的高防服务器、高防 CDN 啥的,这很有可能都是老鼠屎们下的套,自编自演,目的就是为了给你推销他们的产品,这类产品普遍续费价格高,一旦你停止续费攻击就会继续来了,就明月了解到的已经有 N 个站长被这种套路坑了不少钱,所以碰到 DDos/CC 攻击一定要冷静,需要的话可以联系明月咨询,我会尽一切可能帮助和指导你的。
随着【 揭露一帮在 QQ 群里潜伏攻击别人网站的老鼠屎(持续更新)】一文的揭露和曝光,近期明月又收到了不少站长们反馈给我的老鼠屎们到处作恶的实证,也获得了这些人用来伪装的博客网址、备案号等信息,甚至还有伪造备案号的,并且都清一色的拥有多个 QQ 号,后期看来还是要持续更新继续揭露曝光他们,据说有个老鼠屎听说明月要分享自己抵御 DDos/CC 攻击的方法还煞有介事的“率先”发布了一篇所谓的文章,明月看了只有一个评价:道听途说、鹦鹉学舌、无知+幼稚,纯粹秀脑残!所以,本文加了限制,老鼠屎们的素质、节操、智商是没有资格看到本文的,毕竟他们是真的看不懂,明月也不会接受他们的咨询。
