受到 DDOS 攻击，为何是 nginx 的页面？

这个Nginx应该就是“云盾”的一部分，流量走他那反代之后再给你。

@lsylsy2 这个我得问下阿里云是不是他们用了nginx。另外，用火狐打开页面后网址后会出现一串
?ccepezynrgtmpvhf的东西，而且一直很快的在自动刷新。。。。

@bobopu 也是，阿里云理论上应该有Tengine……不过还是比较大的可能性是他的云盾。
问号后面那些东西应该是防CC，原理记得是在网页里面写Javascript，攻击脚本（比如基于wget的）无法跳转，就会被封掉。

60多个IP的攻击还叫攻击么..

@nilai 国内服务器（比如阿里云）10M带宽不小了吧？
国外找个VPS，千兆端口，一个IP，叫不叫攻击？

正常啊。。。

楼主如果使用了WAF就会出现此情况

@lsylsy2 问了阿里云说这个东西不是他们的，因为同时用了安全宝，安全宝说nginx是他们的，但问号后面那些东西不是他们的。安全宝说他们免费版没有抗d和抗cc功能。

@xoxo 对，用的是安全宝，下午问他们了，说这个页面就是他们的，但没说为什么出现这个页面。至于问号后面那一串东西说不是他们的。

@bobopu 我只知道一个叫“金盾”，在很多机房都有的防火墙有这么个机制，具体的我也不清楚……这叠了好几层最容易不清不楚……

@lsylsy2 金盾这个很有名啊，不过阿里云应该用的不是金盾。是啊，我这叠了三层，除了云盾和安全宝，服务器上还有安全狗。好在，这会攻击已经结束了。

@lsylsy2 几年前机房有金盾，不过?参数不是这种形式（不过可能跟版本有关），还造成大量误判，百度收录页面大量变成这种网址，于是强制要求直连服务器 -_-

现在几台服务器前无此类设备，上个月一个小屁孩QQ过来敲诈收保护费，不给就用多少多少肉鸡搞残网站，开价每月5、6K，理由是相当于雇个技术人员做网络安全。
一番恐吓后流量和CC攻击就过来了，流量（主要是UDP）交给机房处理，自己写个识别脚本对抗CC（10秒内识别，自动屏蔽ip 10分钟）。
几个小时一番对抗后，估计小屁孩没耐性了，偃旗息鼓作罢了。

最近几天也持续遭受cc攻击中，这次主要来自几个C段，直接整段封了，可能有误伤，等有空了golang写个简单的清洗网关。

@pubby 我这边服务器倒是没进来多少流量，流量反而比没攻击的时候少了。（估计是被阿里云云盾给挡掉了吧）服务器上的安全狗日志里也没提示出现攻击。所以下午那会让我根本无从下手，到底是怎么回事。你这种直连进来的，好像有个腾飞防火墙说是抗CC有效果，具体没试过。

@bobopu CC时，你都502错误了，流量肯定会少不少

我想识别->清洗也是周期性发生的，清洗动作前进来的CC对正常服务可能就有影响了（如果本身web服务处理能力不强的话）。

楼主的智商堪忧啊，既然用了安全宝的CDN，那么云盾里给的IP就只是安全宝的CDN节点IP了，
防火墙只能二选一，且行且珍惜

@xoxo 我看了下云盾里拦截的IP只有1个IP是安全宝的节点，其他的都不是。

@bobopu 嘴贫，你去掉安全宝试试？

@pubby 下午问安全宝是不是给我回源了，他们说没有回源。云盾是中午提示开始清洗的，晚上9点提示清洗结束，这中间没说是不是周期性的。那就是说云盾没有拦截住这些CC攻击导致502了吗？

@xoxo 啊，我没有撒谎的。因为安全宝此前和云盾一直配合的挺好，用了半年多还没出过问题。后来我也怀疑是云盾把安全宝节点给当挡了，逐一查看了下云盾提示的拦截IP又和安全宝给我分配的9个节点对照了一下，发现只有一个四川的节点被云盾误判的，其他的ip里没见有安全宝了。如果真是安全宝的原因，那有可能就是安全宝还有给我分配的节点没有写出来。

@bobopu 没用过阿里云的。如果按照 @xoxo 所说，真的把安全宝节点ip给清洗掉了，那 @#$%^&.....

@pubby 这种可能性的确是有。我明天再问下安全宝这些Ip是不是他们的节点。

@bobopu 别再问了，就是这原因。凭阿里云云盾的能力，小打小闹不在话下。何以非要用两家的产品，你封我然后我封你。

@xoxo 那我如果想给整站CDN加速的话，该怎么办呢？会不会又被云盾给识别为攻击了？

@bobopu CC是有特征的，CDN会让特征更加明显，这你让云盾到底是清洗呢还是不清洗

如果cdn不带抗CC，那就悲剧了

你可以把静态资源分离出去，用CDN加速

动态的还是走云盾吧，阿里云的网络质量难道差到需要CDN？

嘿嘿，阿里云的网络质量倒是不错，但由于我的这个应用需要迅速打开（不能超过2秒），不用安全宝的话，阿里云在某些地区的延迟还是稍有些大。安全宝客服说他们带抗CC的CDN价格是每年30万，可以打折。

@bobopu BGP+CDN = 脱掉内内放屁

@xoxo 嘿嘿，您真直白。。不过话也是有道理，明天再测试下去掉安全宝后的访问速度。

生病乱投医的感觉。我觉得一个阿里云盾足已

@xdeng 额。。终于让我找到问题所在了，是一启快的问题，安装一启快后，与云盾发生冲突，这些被拦截的IP是一启快的节点……卸载一启快后恢复正常。

@bobopu 我滴天啊。 你到底装了多少个 防攻击的东西啊。。。

前面会有一层nginx做反向代理的，后面才是你自己的服务器

@bobopu 你要两秒内打开何须借助安全宝等软件的自动优化，手动的才是王道，参见gtmetrix.com

@xdeng 额，这个不是防攻击的，是加速的网站的，整合js这些。。

@zjgood 这个测试给了95分和A，算高还是低？

cc攻击都是小菜啊. 少年来几十G UDP如何`

安全宝应该和阿里云 云盾谈好,放入白名单.不过```
如果免费版的不防cc,那么`````````

我插 三层```

安全宝>云盾>一启快
楼主你厉害`

@wwek 昨晚看了个年初阿里云自身遭攻击，云盾自动防御160G攻击的帖子，感觉好拽。不过云盾给客户的防护是5G，舍不可增加。一启快不是防火墙，用的时候也没打开他的cdn加速。感觉阿里云不会和安全宝谈好，因为阿里云自己的cdn服务也开卖了。。

@bobopu 阿里云提供免费的 waf cc防护 流量方面抗到 5g 都是免费的.说实话很不错了.
cc攻击比较容易防御. 纯udp流量攻击,就只有拼带宽了. 安全宝 防御5G的 cc或者udp什么的. 价格在1万多一年. 不超过5G的防御.这个价钱.

@bobopu 说实话,大多数网站需要一个BGP就ok了.我不需要cdn,又不分发什么大的东西. 一般的网站的静态应用,可以用又拍云,或者七牛.
大部分的网站,反而需要 7层防御(如cc), 4层防御(如udp包). 至于sql注入,xss什么的,做好自身的安全吧.靠三方waf来防御这个是不科学的.先做好自己的程序安全.

@wwek 通过这个帖子真是学到了不少东西。

@bobopu 两个都是95？还算不错，你得撤销安全宝，一启快来裸测哟。你可以测测我的得分，裸测99，99
http://izj.pw/

@zjgood 哇，你这个好快！真是风驰电掣般的打开了，和没有图片也有关系吧，不过加载速度的确是快到爆。我的测了下左边的是95分A，右边是90分A，js和图片缓存在七牛，另外还有个统计系统的js需要调用人家的，所以没法合并在一起。
低分低的两个地方提示：
Avoid a character set in the meta tag
The following resources have a character set specified in a meta tag. Specifying a character set in a meta tag disables the lookahead downloader in IE8. To improve resource download parallelization, move the character set to the HTTP Content-Type response header.

Specify a Vary: Accept-Encoding header
The following publicly cacheable, compressible resources should have a "Vary: Accept-Encoding" header:

这个具体是什么意思，需要如何改进呢？

为什么不用阿里云自己的CDN呢？

@simohayha 贵啊。

@zjgood 的确好快，用3g网络都有打开度娘的感觉

@bobopu css不要放在七牛，就放在阿里云本地，不然网页渲染时还需要等待七牛的域名解析和响应以获取css，js也可以放在本地。图片可以放在七牛。他给的第一个建议是让你在html文档中指定字符编码信息，我是这样制定的，<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />，具体你可以查看izj.pw的html代码，第二个建议可能是让你不要在静态文件后增加查询字符串，比如说izj.pw/jquery.js?ver=1234这种样子，只需要izj.pw/jquery.js就行了。具体请看https://developers.google.com/speed/docs/best-practices/caching#LeverageProxyCaching

@wwqgtxx 嘿嘿，我这周末测试阿里云OCS，看看能不能更快~谢谢夸奖

@zjgood 万网的这个空间速度确实快，千兆带宽啊，就是流量有些少，不知能额外加流量不？

阿里云主域名用cdn有备案被取消的风险…

@bobopu 静态文件全部放又拍云，流量完全够用

@sadara 如果添加一个二级域名test绑定到阿里云的话，可以不被取消备案吗？

@zjgood 我这每天pv在80万左右，不敢用收费的cdn，本来就预算不多。。

@bobopu 你的网站是哪个？发来瞧瞧。 80 万的 PV ，个人网站，算是相当的牛 B 呀。