受到 DDOS 攻击,为何是 nginx 的页面?

2014-04-15 16:11:45 +08:00
 bobopu
中午正在睡觉,收到阿里云云盾发来的报警短信,服务器收到DDOS攻击,攻击类型为:
四层攻击: TCP连接攻击
七层攻击: HTTP Flood(CC攻击)
正在执行流量清洗,ip大约有60多个。

网页已经打不开了,提示
502 Bad Gateway
nginx/1.5.0

问题是服务器跑的是IIS,并没有安装nginx,怎么会出现nginx的提示呢?
9141 次点击
所在节点    云计算
54 条回复
lsylsy2
2014-04-15 16:17:28 +08:00
这个Nginx应该就是“云盾”的一部分,流量走他那反代之后再给你。
bobopu
2014-04-15 17:05:38 +08:00
@lsylsy2 这个我得问下阿里云是不是他们用了nginx。另外,用火狐打开页面后网址后会出现一串
?ccepezynrgtmpvhf的东西,而且一直很快的在自动刷新。。。。
lsylsy2
2014-04-15 18:56:42 +08:00
@bobopu 也是,阿里云理论上应该有Tengine……不过还是比较大的可能性是他的云盾。
问号后面那些东西应该是防CC,原理记得是在网页里面写Javascript,攻击脚本(比如基于wget的)无法跳转,就会被封掉。
nilai
2014-04-15 20:06:18 +08:00
60多个IP的攻击还叫攻击么..
lsylsy2
2014-04-15 20:08:29 +08:00
@nilai 国内服务器(比如阿里云)10M带宽不小了吧?
国外找个VPS,千兆端口,一个IP,叫不叫攻击?
damon5
2014-04-15 20:27:44 +08:00
正常啊。。。
xoxo
2014-04-15 20:47:35 +08:00
楼主如果使用了WAF就会出现此情况
bobopu
2014-04-15 21:50:54 +08:00
@lsylsy2 问了阿里云说这个东西不是他们的,因为同时用了安全宝,安全宝说nginx是他们的,但问号后面那些东西不是他们的。安全宝说他们免费版没有抗d和抗cc功能。
bobopu
2014-04-15 21:55:40 +08:00
@xoxo 对,用的是安全宝,下午问他们了,说这个页面就是他们的,但没说为什么出现这个页面。至于问号后面那一串东西说不是他们的。
lsylsy2
2014-04-15 21:56:11 +08:00
@bobopu 我只知道一个叫“金盾”,在很多机房都有的防火墙有这么个机制,具体的我也不清楚……这叠了好几层最容易不清不楚……
bobopu
2014-04-15 22:17:11 +08:00
@lsylsy2 金盾这个很有名啊,不过阿里云应该用的不是金盾。是啊,我这叠了三层,除了云盾和安全宝,服务器上还有安全狗。好在,这会攻击已经结束了。
pubby
2014-04-15 22:41:58 +08:00
@lsylsy2 几年前机房有金盾,不过?参数不是这种形式(不过可能跟版本有关),还造成大量误判,百度收录页面大量变成这种网址,于是强制要求直连服务器 -_-

现在几台服务器前无此类设备,上个月一个小屁孩QQ过来敲诈收保护费,不给就用多少多少肉鸡搞残网站,开价每月5、6K,理由是相当于雇个技术人员做网络安全。
一番恐吓后流量和CC攻击就过来了,流量(主要是UDP)交给机房处理,自己写个识别脚本对抗CC(10秒内识别,自动屏蔽ip 10分钟)。
几个小时一番对抗后,估计小屁孩没耐性了,偃旗息鼓作罢了。

最近几天也持续遭受cc攻击中,这次主要来自几个C段,直接整段封了,可能有误伤,等有空了golang写个简单的清洗网关。
bobopu
2014-04-15 22:56:06 +08:00
@pubby 我这边服务器倒是没进来多少流量,流量反而比没攻击的时候少了。(估计是被阿里云云盾给挡掉了吧)服务器上的安全狗日志里也没提示出现攻击。所以下午那会让我根本无从下手,到底是怎么回事。你这种直连进来的,好像有个腾飞防火墙说是抗CC有效果,具体没试过。
pubby
2014-04-15 23:06:04 +08:00
@bobopu CC时,你都502错误了,流量肯定会少不少

我想识别->清洗也是周期性发生的,清洗动作前进来的CC对正常服务可能就有影响了(如果本身web服务处理能力不强的话)。
xoxo
2014-04-15 23:23:36 +08:00
楼主的智商堪忧啊,既然用了安全宝的CDN,那么云盾里给的IP就只是安全宝的CDN节点IP了,
防火墙只能二选一,且行且珍惜
bobopu
2014-04-15 23:29:02 +08:00
@xoxo 我看了下云盾里拦截的IP只有1个IP是安全宝的节点,其他的都不是。
xoxo
2014-04-15 23:32:08 +08:00
@bobopu 嘴贫,你去掉安全宝试试?
bobopu
2014-04-15 23:32:46 +08:00
@pubby 下午问安全宝是不是给我回源了,他们说没有回源。云盾是中午提示开始清洗的,晚上9点提示清洗结束,这中间没说是不是周期性的。那就是说云盾没有拦截住这些CC攻击导致502了吗?
bobopu
2014-04-15 23:37:07 +08:00
@xoxo 啊,我没有撒谎的。因为安全宝此前和云盾一直配合的挺好,用了半年多还没出过问题。后来我也怀疑是云盾把安全宝节点给当挡了,逐一查看了下云盾提示的拦截IP又和安全宝给我分配的9个节点对照了一下,发现只有一个四川的节点被云盾误判的,其他的ip里没见有安全宝了。如果真是安全宝的原因,那有可能就是安全宝还有给我分配的节点没有写出来。
pubby
2014-04-15 23:37:57 +08:00
@bobopu 没用过阿里云的。如果按照 @xoxo 所说,真的把安全宝节点ip给清洗掉了,那 @#$%^&.....

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/108672

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX