客户服务器被 ddos 攻击,应该怎么办?

2014-11-12 11:43:04 +08:00
 jarlyyn
如题。
网站在阿里云,纯粹的企业展示型网站。
第一次被攻击后,把数据库转移到了rds.做了主要页面的缓存,网站域名只想了阿里云盾的cname。
目前客户已经把带宽提高到50mb,依然被ddos全部占满。
我分析了下apache日志,几分钟就统计有几十个不重复的IP地址。user-agent之类也都不同。感觉难以从技术上区分攻击流量和正常流量。
这时候除了继续提高带宽,还有其他可以做的么?
11747 次点击
所在节点    问与答
80 条回复
hao0088
2014-11-12 11:50:57 +08:00
CC吗?考虑下安全宝,加速乐啥的~
jarlyyn
2014-11-12 11:55:01 +08:00
@hao0088 已经使用阿里云盾了。安全宝加速乐之类能有本质的改善么?
xloong
2014-11-12 11:56:17 +08:00
CC的话,什么加速都没用,除非上硬防
jarlyyn
2014-11-12 11:57:42 +08:00
@xloong 硬防的话能有效防止么?我分析了下日志,就是用一个ip访问首页,下载所有图片/css资源,然后换一个ip,关键是ip多啊
shiny
2014-11-12 12:04:23 +08:00
限制单个 ip 的速度和请求频率
qiuai
2014-11-12 12:07:26 +08:00
阿里云的所谓云盾很废物.所以用不用无所谓.
我现在一个客户在我这租的硬防服务器.在阿里云老是检测到几十兆几百兆的攻击,然后就被阿里云直接黑洞了...结果换到高防服务器以后,一点攻击都没检测到...

然后现在在用 百度云加速,也完全检测不到攻击...很无语...

你可以切换到百度云加速试试.这种服务自带流量清洗,比阿里云的更有用一些.

如果还不行,来硬防吧 QQ410668..
hao0088
2014-11-12 12:12:28 +08:00
@jarlyyn 你直接把你的日志扔给他们技术支持,问下能不能防,最简单啦~
cst4you
2014-11-12 13:02:14 +08:00
把网站置空 10 分钟, 统计 404 的频率, 把请求多的 ip 直接加入列表封掉, 应该一次性的就能追查到 70% 的恶意 CC 的 ip 了, 然后再把网站恢复, 如果还是很高, 那就再次这样做, 直到封完大部分 ip 为止.

反正不信对方有那么多机子来搞你. 他花的成本也高.
bobopu
2014-11-12 13:03:07 +08:00
1.调低云盾的触发阀值
2.使用sitelock
3.更换域名的Dns
xloong
2014-11-12 13:15:07 +08:00
@jarlyyn 你可以先用几个加速试试,如果量不大的话,就防住了,不然只能上硬防过滤了。还有只是首页的话可以开缓存
kmvan
2014-11-12 13:16:19 +08:00
几分钟几十个IP也能叫攻击?
jarlyyn
2014-11-12 13:37:40 +08:00
@kmvan 几十个ip,同时开始下载页面所有的图片呢……
jarlyyn
2014-11-12 13:38:13 +08:00
@xloong 缓存加了,他直接下载图片拉带宽……现在是带宽不够,不是数据库/磁盘/cpu的问题……
hao0088
2014-11-12 13:39:38 +08:00
@jarlyyn 带宽不够上CDN吧,1G的流量也就1块钱样子。。。
plprapper
2014-11-12 13:41:03 +08:00
@jarlyyn 图片迁移到CDN呗
jarlyyn
2014-11-12 13:44:46 +08:00
@plprapper
是我的我就迁移了,这不是蛋疼么……

[root@iZ23mx7tfwpZ httpd]# cat ip_log |wc -l
500
[root@iZ23mx7tfwpZ httpd]# uniq ip_log |wc -l
461

10多分钟的数据

要我说这看上去分明是推广做的好么……
plprapper
2014-11-12 13:45:53 +08:00
@jarlyyn 你uniq 之前 做过sort?
jarlyyn
2014-11-12 13:50:01 +08:00
@plprapper 的确2了
cat ip_log |sort|uniq|wc -l
265
kmvan
2014-11-12 14:02:08 +08:00
交给渣浪图床吧
jarlyyn
2014-11-12 14:03:04 +08:00
切换回了正常网站
目前带宽仍然处于接近跑满状态
ip地址仍在稳定增长
cat ip_log |sort -u|wc -l
788

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/145842

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX