分享一些防DDoS的经验,以及海盗VPN的设置教程

2013-02-17 21:27:53 +08:00
 sNullp
RT,这是一个技术分享主题。分享了 **即将到来** 的海盗VPN的教程,并且是海盗CDN的公告。还有我对防止DDoS的一些心得。很符合V2EX技术社区的定位。谁“删帖”谁傻逼。

基于这么长时间的折腾我对防范DoS也有了一些心得,本来打算过一段时间发一个图文教程,但是因为一个原因(下面说)我就现在简单说说吧,有不明白的邮件问我。

防DoS (CC):
大部分DDoS其实都是来源于一个IP,或者一个内网。所以其实是DoS。然后大部分DoS都是CC攻击。
CC攻击有2个目标:
1. 服务器超载
这个主要是让你的web服务器超载,不能正常响应。但在一些没有很好配置的vps上,由于web服务器吃光了内存导致整个服务器不可用。
抵抗方案(仅对常见的中小型攻击有效):
1) 配置web服务器的最大child个数,保证不会吃光内存导致thrash
2) 在服务器层面部署防范措施,比如mod_security,以及可以在程序逻辑中恰当地返回403
3) 在系统层面可以写一个脚本定期观察,比如 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n ,之后用fail2ban还是iptables还是什么办法自行想象。

2. 带宽超载
这个没法根治。
一个偏方是配合服务器模块(mod_invasive或者nginx的limit_req)和fail2ban在出现403多次后用iptables Drop掉该IP或网段所有访问包。
这样在有的IDC处即使有很大的带宽(30m左右)打过来都不会null route

防DoS (非CC,比如SYN Flood):
现在这种Dos其实很少了,因为这种攻击不怎么消耗带宽,而对于一个比较小流量网站收益小、容易恢复。以及现在很多地方的路由在发现不合法来源后会直接丢包。
如果说防范的话,在 sysctl.conf 里打开 SYN_COOKIE 可以抵挡中小型的General攻击。另外在fail2ban里也有这类DoS专门针对SSH等端口攻击的filter,可以打开。(不过目前真没人这么搞,就算是防范于未然吧)


然后说一些海盗VPN和CDN的时间点:
海盗VPN **下个礼拜** 会更新首页和服务器自动部署教程,之后就可以算一个相对能用的、能让大家明白是干嘛的系统了。届时大家可以根据教程了解我配置VPN的一些经验、VPN集群的搭建方法、VPN限速、限并发、限连接数、限P2P的一些方法。

之后会在twitter上发邀请码。有兴趣的同学可以关注@pirate_vpn
**下月初** 部分节点会支持L2TP,如果顺利的话也会顺带支持上Cisco/IPSec。并会在4月前支持pac。

本来我不喜欢提前报时间点的,都是先做再宣传,免得被骂期货。不过因为同样原因我不得不提前说了。

然后海盗CDN(只能做美国空间经由日本和香港节点对国内加速)在我压力测试过服务的稳定性后开始内测。需要的同学邮件我。

好现在说一下我这么仓促发布的原因:
是因为我心眼特别小。
虽然有人说V2EX的价值在大家创造的氛围,但被上帝@livid莫名其妙一通撵真忍不过去。于是我瞬间从他的粉丝变成黑了:
http://www.v2ex.com/t/60538#reply56 别看主题,我压根不想关心这些事。看下面上帝对我的回复。
所以这应该是我在V2EX的最后一个分享贴,以后可能会套马甲在二手版收点pp。

各位再见。
5927 次点击
所在节点    分享创造
9 条回复
Livid
2013-02-17 21:38:52 +08:00
我最近被那些 hostloc 过来的极品搞得有点心烦,情绪不好,你别多想。

你和他们是有些不同的。

任何时候,都不要去攻击别人的网站,也不要觉得这么做是正确的。
sNullp
2013-02-17 21:41:19 +08:00
@Livid 关于攻击这件事,我的海盗VPN也被攻击过,这个我和你站在同一条战线上。
但是语言的威力在于几句话就能让一个人气得半死,说话至少先思考一下别人的感受吧?我很尊敬你的作品,但鉴于我现在的情绪别的我就先不说了。
Livid
2013-02-17 21:42:43 +08:00
@sNullp 好,大家都沉默一下。最好忘掉这件事。:)
zxy
2013-02-17 21:45:35 +08:00
相互理解吧,我比较喜欢打字而不愿说话的原因之一是打字的过程中我在思考,值不值得发出也会在打完的时候决定好
kindlepaper
2013-02-17 21:59:32 +08:00
@sNullp 是一个非常好的人,别的不说,我最早知道他,是看到他从美国回来说免费给大家带东西,然后我麻烦他代购vps,他也很爽快答应。然后Free 虚拟主机,VPN什么的,这些大家都有目共睹吧,有不懂得地方,他讲解也很耐心,别的不扯,这至少说明,他是个热心、乐于助人的人。


看了@Livid 在那个帖子的回复,希望那个帖子里面的回复,真的只是一时气话,不然,对你的印象确实大打折扣了。V2EX做的越来越好,也是大家一起的贡献吧,现在对某些成员,说不欢迎,不管别人怎么想,我是不想被代表。欢不欢迎应该大家判断吧,至于删不删那就是livid作为V2EX站长自己的事了。
随意删帖子,自己不喜欢的帖子,这一点不能接受。我是比较赞同v2ex不修改帖子的,但是既然站长可以删其他人的帖子(非恶意以及违反规则),那为什么普通人不可以删除自己的帖子呢。
不能及时放web services,好好解释应该是很必要的吧,毕竟有些人就是冲这个去充的值。
其实之前说PB3开源的时候,一直没有开源,然后就杳无音信了,给的理由个人觉得有些扯,不打算开源可以直接说的,相信很多人也可以理解,毕竟主要是livid你们这些人的付出,敷衍有需求的人个人觉得不太好(我本人不做站,所以对PB3没诉求)

希望V2EX可以容纳更多不同的声音吧
无耻的借用一句话,送给V2EX:能力越大,责任越大
尽管有时候并非我们所愿
Livid
2013-02-17 22:04:06 +08:00
@kindlepaper 我设想中的 2012 年的生活,和实际发生的,完全不同。而现在的一切,只是 2012 年那些开始的事情的延续。

抱歉我们没有能够在 2012 年将 PB3 发布。
sivacohan
2013-02-17 22:22:55 +08:00
@Livid
@sNullp

是人都有脾气。生气的时候做点冲动的事。大家都别往心里去。
有句话叫不打不相识,吵吵闹闹,等怒气消了,大家找个地方喝酒吃肉,这个事,也算吹牛的时候一个谈资。

PS: 吃饭算我一个行不~我吃的不多~
kindlepaper
2013-02-17 22:29:37 +08:00
@Livid 嗯,有时候沟通很重要的,新年快乐!
diib
2013-02-17 22:33:48 +08:00
支持一下楼主吧。
不过话又说回来,v2ex不是公共区域,而是其拥有者的私人地盘;所以不要期望在任何网站能得到公平,除非自己建个。
(这一点可以用在任何一个有产权的地方。)

另外ddos的应该是hostloc的debian,而不是@yuan007

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/60552

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX