服务器被攻击了，第一次，有点无所适从

服务器是阿里云买的一个 2 核 2G 的 ECS ，没有开通什么高防，因为收费和不知道其原理的原因（怕超量扣很多钱），所以我现在连什么情况都不知道，我估计是大量的接口请求导致的，因为 CPU 飙升 100%，之前都是 2%到 3%。

我目前是关掉了域名解析，服务器重启，暂避锋芒，不关掉解析 CPU 掉不下来。然后现在正常了。

我目前主要倒不是生气，倒有点觉得技不如人，可能是没有对我造成太大的损失，那产品就没几个用户，真不知道攻击者想啥，但大概率攻击者是用户之一。我想请问有什么书籍可以让我对 Web 防护有一些策略吗，我趁此机会好好学习一下。另外感谢那位哥只攻击了我一个域名。

另外我还想问问，这种请求攻击是不是就是无解？我目前想到的是短时间禁掉高频访问的 ip ，就是 tcp/ip 流量进来我就给那个 ip 给 close 了，这个有用吗？说实话这种攻击我感觉挺无力的，除了攻击者不想搞事了，还有一种办法就是进局子了，不然没完没了。

至于具体的情况，是不是我说的请求攻击，我会先问一下阿里云那面，也希望攻击者歇歇，不然真得报警了。最后，求书，求点策略，我是搞 java 的，但这里好像并不用限定这个开发语言。

niubee1

259 天前

1. 首先你得定位攻击的类型，是 SYN Flood ，HTTP Flood ，还是慢速攻击。从你的描述上来看，CPU 异常升高的话，应该是 SYN Flood 。
2. 确定抵御的方案，知道攻击类型的话，针对攻击的特征，需要确定防御的策略。因为 SYN 攻击是针对 SYN 的，所以先：sysctl -a | grep syn 看看本机的设置
其中 tcp_max_syn_backlog 是 SYN 队列的长度，tcp_syncookies 是一个开关，是否打开 SYN Cookie 功能，该功能可以防止部分 SYN 攻击。tcp_synack_retries 和 tcp_syn_retries 定义 SYN 的重试次数。那么先加大 SYN 队列长度，然后减少重试次数（减少重试次数有副作用，就是在网络不稳定的地区访问，正常访问失败几率会升高），另外就是要加上访问频率限制，比如超过每秒一次的 IP 就 ban 掉 30 秒。

还有一种方式就是挂 cloudflare ，CF 的机器肯定都是有做好上面我描述的抗 DOS 的设置了，另外一个好处是，有更多的 IP 来参与分流，可以提高你的冗余度。

另，阿里云的云监控里可以设置对主机的状态监控，CPU ，内存，磁盘，可以设置阈值，超过了就给你发短信

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1034091