最近主机吧遇到一位客户网站被CC攻击了,主机吧给他接入了百度云加速商务版进行防御,不过等生效后,发现并没有效果?!
主机吧查看了下CDN报表,发现并没有多少请求访问至百度CDN节点
但是监控服务器发现CPU一直处在100%负荷状态的
登陆服务器后发现有大量请求源于PHP,一开始我们以为是中毒了,后来查看了下网站响应日志发现有大量非百度云加速IP从网站流入,而且这些IP大多是阿里云的IP
由此可见有黑客利用阿里云服务器大量非法请求客户网站,也就是CC攻击。而且对方是直接通过源服务器IP进来的,也就是绕过百度云加速了。
那要怎么解决呢?我们建议客户换服务器IP,然后用百度云加速隐藏起来就可以了。
不过客户反馈说服务器是在西部数码的,不支持换域名。那我们可以用安全组的方法,把所有入网的IP都禁止访问了,只允许百度云加速IP段进入。
增加一条安全组规则拒绝所有IP入网,再添加百度IP段白名单,如下图
然后把安全组部署上服务器上即可。
然后我们再查看监控,CPU立马降下来了
有同学会怕禁掉所有IP进入后,网站打不开,实际上只要你把百度的IP段全放行,访问是正常的,而且搜索引擎蜘蛛是抓取百度节点的,而不是抓源服务器。
需要注意的是启用安全组的时候记得要把你自己的IP放行,否则你会连自己都无法连接源服务器。
