有软件层面扛 dos 的方案么?

2015-01-20 01:49:43 +08:00
 lsylsy2
RT,流量没满,CPU被占满挂了,抓包分析似乎是TCP PSH+ACK攻击。简单的fail2ban好像不能处理这个,有其他现成方案么?(能自动化的,被攻击死机了没法手动操作)
4194 次点击
所在节点    Linux
18 条回复
oojiayu
2015-01-20 03:17:00 +08:00
你说的应该是DDOS 不是DOS ~
DDOS 以及CC的攻击 都是需要硬件防护的~
如果你的服务器是独立主机,那么你要判定攻击者是攻击的你的网站还是服务器~
如果是网站,你可以选择使用安全狗服务~ 或者CDN~
如果是独立服务器被攻击,那么你可以选择更换IP地址~
不过貌似你的情况比较严重~
问问谷歌看看吧~
twl007
2015-01-20 03:43:09 +08:00
mod-security 开源的一个WAF模块 不过实际部署的话规则调整会比较麻烦 目前官网给出收费及免费两种规则库 依据个人需要选吧
bobopu
2015-01-20 07:51:57 +08:00
流量没满cpu满了,这是cc啊,换ip后上cdn
youyoumarco
2015-01-20 08:35:54 +08:00
换CDN,很早以前找过运营商协助解决,现在呵呵了
xoxo
2015-01-20 10:17:23 +08:00
自己写防CC规则

演示: https://www.sslcertificate.cn/admin/login/
攻击脚本:
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=1';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=2';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=3';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=4';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=5';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=6';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=7';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=8';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=9';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=10';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=11';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=12';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=13';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=14';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=15';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=16';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=17';
....
vwhenx2
2015-01-20 10:25:25 +08:00
没有,说完了
thinkxen
2015-01-20 10:27:15 +08:00
试试csf这个软件防火墙吧
ryd994
2015-01-20 10:41:37 +08:00
iptables 限制并发,限制syn频率,限制psh频率,如果过高就加conntrak或者写log,ban ip
应用里限制请求频率
再不行就上cdn,但是cdn遇到大规模顶不住也会回源
Jarett
2015-01-20 10:46:44 +08:00
如果本身就是动态的接口被刷了,用CDN是没有用的,因为动态内容CDN还是要回源获取的,比如各种查询搜索等。建议找找对方刷的是哪个接口,如果自己找不出,或者用网站卫士安全宝之类的看看能否分析出来,比流量攻击好处理。
ryd994
2015-01-20 10:46:47 +08:00
@xoxo 这为什么防CC?
@twl007 你这是应用层的,根本不是一回事
xoxo
2015-01-20 10:52:11 +08:00
@ryd994
用了几个模块, 顺便改了下NGINX一些底层, 实现了这个功能
ryd994
2015-01-20 10:53:04 +08:00
@Jarett 有用,因为这是针对TCP协议的攻击,cdn对动态内容相当于反代,足够了。
ryd994
2015-01-20 11:30:34 +08:00
@xoxo 这是针对TCP协议的攻击,nginx模块有什么用,內核模块还可以说说
xoxo
2015-01-20 11:37:13 +08:00
@ryd994 那就只能硬防了
tanywei
2015-01-20 23:00:49 +08:00
上CDN永远是最省事的。
gamexg
2015-01-21 09:09:28 +08:00
TCP PSH+ACK 的话上CDN完全可以防的.
Jarett
2015-01-21 14:33:56 +08:00
@ryd994 哦,之前以为楼主是被cc,我说的是cc。
k88k88k88k88sx
2015-02-06 13:45:08 +08:00
@xoxo 能否请教一下是你是用了哪些模块实现的?大概指点下我自己研究研究~

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/163673

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX