半年内搬瓦工再次被 d，求指导

![2015-11-18_23.57.20.jpg]( https://ooo.0o0.ooo/2015/11/18/564ca03d4b5be.jpg)
![Screenshot_2015-11-18-23-53-25.png]( https://ooo.0o0.ooo/2015/11/18/564ca03e374db.png)

无图无真相

主要来自天朝

上次是本地 isp 因为我 ssh 太多主动 ddos ，这次我正在联系 cf 提供 hacker 的 ip 。真恶心！我就用个搬瓦工搭个梯子，表面开个 80 装装 b.至于吗？搞得我准备上 cf 的 enterprise plan 了.

上次被 d 是 port 443 running ss
这次是 80 running apache2 on linux

天朝真好！！！ fu*k all

求解，如何低成本防 d ？

wsn2009

2015-11-19 15:35:50 +08:00

低调点，别装逼，别得罪人

yexm0

2015-11-19 17:12:57 +08:00

。。。你运气真好，我 sunnyvision 的 vps 放那一直没人鸟。

datocp

2015-11-19 23:30:08 +08:00

这个最好具备 iptables 相关知识，很多教程不知道防火墙设置就教人关掉 iptables 大错特错。好像很多人用的 fail2ban 还什么来着，其实 iptables 的 recent 模块就可以定义一些常见扫描端口，有人扫就马上 drop 。去 linux 版看看吧，那里有个常见的 state 状态的防火墙规则默认 DROP 只开放必要端口。上面的两步基本一个人用没问题。
前几天 ip 一公布就被系统判定有高达 30000 个并发和你这描述不大一样，小打小闹的话可以搜一下 hashlimit syn flood 。目前就弄了这三步，等待新情况。

d7101120120

2015-11-19 23:52:25 +08:00

自从玩 VPS 以来，还从来没被 DDOS 过。注意一下保护措施，不要把自己的 IP 随便公布。

kmahyyg

2015-11-20 00:18:42 +08:00

表示从未公布只有我一个人用！！！！@wsn2009 @yexm0 @d7101120120

kmahyyg

2015-11-20 00:19:04 +08:00

能详细一点吗？ @datocp

kmahyyg

2015-11-20 00:20:45 +08:00

@wsn2009 @yexm0 @datocp @d7101120120 1min 前刚刚解锁 6h 的搬瓦工再次被 d!!!!

我猜应该是针对 cloudflare 的，不然我这么一个小站，为何如此密集？？？？

果断 kill vps
pause cloudflare

明天起来再说吧，我要崩溃了！！

kmahyyg

2015-11-20 00:21:36 +08:00

@wsn2009 @yexm0 @datocp @d7101120120 已配置日常不用端口 ban 。 firewalld 正常工作 ing......

datocp

2015-11-20 00:39:25 +08:00

https://www.v2ex.com/t/235392
http://linuxmantra.com/2010/06/how-to-stop-syn-flood-attack-using-iptables.html
ddos 不是 iptables 防得住的，以前就拿到一个 ip 可能前人把它做成 dns 服务器， iptables drop 53 端口还是收到警告邮件，最后只能换 ip ，这日志也交待不清是别人 ddos 服务器，还是服务器 ddos 别人。

kmahyyg

2015-11-20 01:24:39 +08:00

@datocp 好的，谢谢。不过从 cloudflare 的 analysis 来看， DDOS 是入站

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/237191

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.