这是一篇来自客户被DDOS攻击的经历,希望可以帮到大家。
希望你只是无意中打开了这篇博客,如果你是搜索到的这篇博客,那很有可能你也正在遭受攻击困扰,希望你的钱能撑到攻击结束。
7号发现博客无法打开。
开始以为是域名到期了,检查一圈也没发现异常,发现网页解析也没什么异常。
开始着手查服务器和cdn,看 cdn 后台时发现博客域名被cdn关闭了,原因是触发了我设置的带宽流量阀值,cdn 根据策略直接停止cdn服务,保护站点流量消耗异常。这看来是被人 DDOS 了。
想来想去可能是昨天在一个群里说过一些网站被黑以后的解决方式,被别人给盯上了。
抓紧去群里说了一下,群里有坏人,大家尽量不要暴露自己的网址。
然后开始着手调查流量来源和如何防御攻击,发现没什么日志分析软件,cdn 的流量日志不好分析。先开开网站cdn看看攻击流量是不是还在,看了一下流量还在而且攻击第二波峰比第一次还要高。
7号攻击过去以后,自己也没当回事,以为只是别人练手打中了这个域名,单个博客一般不会被当作攻击目标,毕竟攻击也是需要成本的。后续也没再管,觉得攻击过去,后面也就没什么事了。
但是域名一旦被人放到攻击列表里,那就有了相应风险了。
13号又有群友反应无法访问网站,他完全靠百度的缓存页面找到的我的一个QQ群,我再看cdn记录发现又被进行了一波攻击,cdn又一次主动保护关站了。
结合上次分析攻击的经验,因为上次开启了cdn的实时日志,这次尝试使用腾讯云的实时日志进行分析看看,但是发现腾讯云的cdn实时日志看着功能强大,但是我不会用,复杂无比,还要收费,光日志索引都用了4个G。搜索cdn实时日志也没分析出什么有用的信息。
一边给腾讯云发工单咨询如何使用实时日志检索,又关掉了实时日志,根据攻击时间段,下载了cdn的离线日志,本地分析日志。
其实发工单的也没太指望腾讯云能给什么解决方案,只是想咨询一下如何使用实时日志快速搜索出有什么攻击特征,可以在cdn配置中进行限制。
腾讯云连着用北京、广东、腾讯云官方电话给我电话,前三个电话都被认为是广告营销屏蔽掉了。
工单最后给的解决方案也是可以考虑配置 cdn的单ip并发,流量下行限制,设置预警阀值来操作。
最终的方案是可以考虑开通腾讯云的scdn功能,普通cdn不支持防 ddos 和cc 攻击,只有 scdn 支持防 ddos 和 cc 攻击。就是要单独花钱,起步价是3800,cc 和 ddos 防护流量超出还另行收费。
要是能花钱解决也就不会发工单了。
要想不花钱,还是要自己动手分析。
下载了cdn的日志,没有顺手的分析日志的软件,上次尝试360 的星云来分析日志,发现cdn 的日志星云没法分析,这次尝试把日志导入excel分析了一下攻击源,导入excel 好像只能导入几万行,不过也够用了。
攻击日志看大概是有几万个不同 ip,完全靠封禁IP 基本不现实。
把分析出来的前20个高访问量的 ip 在 cdn 中进行了屏蔽,前两个IP比较厉害,一个IP几分钟内访问了7000多次。
最近再观察一下封禁了高峰 ip 之后的结果。
又买了一个 1T 的流量包预备着,这幸好是之前在双十一买了一个1T的 cdn 流量包顶了一阵,这个流量包已经在几次攻击过程中被消耗完了800G。
晚上刚买的1T流量也差不多了,这样搞下去,简直是无底洞,普通CDN被攻击消耗流量太大了。
思来思去,还是得去买个高防CDN吧,目前国内性价比较高的就百度云加速。
弄个了专业版的,找代理商主机吧买,价格便宜一半,很划算。
成功接入,安全拦截!赞一个!
