V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Lanzi
V2EX  ›  服务器

(SOS) appletuan 被 DDoS,系统无法防御。

  •  
  •   Lanzi · 2014-08-06 15:58:20 +08:00 · 6911 次点击
    这是一个创建于 3522 天前的主题,其中的信息可能已经有所发展或是发生改变。
    系统管理员生病回家修养。
    本人以前玩 Debian,但经验不多,且多年没用,都忘光光了。
    一周内第二次,每次时间在10小时以上,有偿(或友情)请求靠谱援助!
    系统:Ubuntu Server

    小马哥:36531688
    38 条回复    2014-08-08 22:24:43 +08:00
    semicircle21
        1
    semicircle21  
       2014-08-06 16:07:32 +08:00
    请问这是自己的服务器托管, 还是用了某家的云服务呢?
    我不熟悉运维, 只知道国内有些IaaS比如阿里云就号称能防御DDos的.
    Lanzi
        2
    Lanzi  
    OP
       2014-08-06 16:10:10 +08:00
    @semicircle21 Linode东京8G呢,没有防御能力···
    XXOO
        3
    XXOO  
       2014-08-06 16:10:44 +08:00
    如阿里云,windowsazure,亚马逊。
    raincious
        4
    raincious  
       2014-08-06 16:12:29 +08:00
    Cloudflare不知道国内访问怎么样(我这很卡)。如果全国还算流畅的话,放在那个后面应该能挡掉部分,而且付费也是有DDoS防御服务的,就是不知道效果怎样。
    magicsilence
        5
    magicsilence  
       2014-08-06 16:12:50 +08:00
    换IP, 然后躲在在安全宝,360网站卫士啥的后面吧
    xi4oh4o
        6
    xi4oh4o  
       2014-08-06 16:22:02 +08:00
    DDoS可以挂CDN隐藏IP
    针对域名CC的话 推荐下https://github.com/centos-bz/HttpGuard 这个的确挺好用的
    Lanzi
        7
    Lanzi  
    OP
       2014-08-06 16:25:36 +08:00   ❤️ 1
    @XXOO @raincious 现在当务之急是先在系统上做一些防御。
    Linode服务确实有些大BUG存在,今天在resize的时候就彻底挂了,对于DDoS也完全无力~
    bindiry
        8
    bindiry  
       2014-08-06 16:33:41 +08:00
    @Lanzi 前几天想resize,还好看到你这句话,谢谢。

    另外我能想到的办法就是用百度云加速之类的服务。
    moname
        9
    moname  
       2014-08-06 16:35:23 +08:00
    有空还是先备案吧,备案了申请个360CDN,,,,,国内CDN中免费的360算最靠谱的。
    这样的话估计好办,CC什么的无压力,但DDOS量大了肯定还是会挂。
    h2sky
        10
    h2sky  
       2014-08-06 16:36:51 +08:00
    找安全宝先解析挡住,然后找高防cdn
    Lanzi
        11
    Lanzi  
    OP
       2014-08-06 16:44:38 +08:00
    @h2sky @moname 正在配置 Deflate,开始有些效果了···
    Lanzi
        12
    Lanzi  
    OP
       2014-08-06 16:47:09 +08:00
    @bindiry 往高了resize要小心,操作之前不会有提示,但一旦resize,相应机房又没有相应配置,就会卡在那进退两难,不能resize back也不能 boot,客服说只有迁移机房这一个办法···
    wy315700
        13
    wy315700  
       2014-08-06 16:55:15 +08:00
    Cloudflare吧,弄个付费套餐,先把这部分流量给顶过去,然后给服务器换一个IP
    wy315700
        14
    wy315700  
       2014-08-06 17:01:00 +08:00
    如果我没记错的话 appletuan用的是ror的程序吧,是CPU被占满了还是流量攻击
    zjgood
        15
    zjgood  
       2014-08-06 17:06:39 +08:00 via Android
    "系统管理员生病回家修养。"然后就被攻击了,你们内部有奸细吧
    Lanzi
        16
    Lanzi  
    OP
       2014-08-06 17:21:10 +08:00
    @wy315700 我试试看···
    Lanzi
        17
    Lanzi  
    OP
       2014-08-06 17:21:58 +08:00
    @wy315700 多种方式,DDoS之后是流量攻击···
    @zjgood 修养已经大半年~
    wy315700
        18
    wy315700  
       2014-08-06 17:24:15 +08:00
    @Lanzi 发现了,Ping延时时不时不稳定,50%丢包率。

    记得把cf的安全选项都打开
    zouxcs
        19
    zouxcs  
       2014-08-06 17:45:36 +08:00
    Lanzi
        20
    Lanzi  
    OP
       2014-08-06 18:17:07 +08:00
    感谢 @Maple 帮忙防御了攻击。
    以及 @zouxcs @wy315700 @wy315700 @wy315700 @h2sky @moname @xi4oh4o @magicsilence @raincious @XXOO @semicircle21 提供的各种方案。
    找到长期的可行解决方案之后在V2EX分享给大伙~
    谢谢各位!
    guolincut
        21
    guolincut  
       2014-08-06 18:34:50 +08:00   ❤️ 1
    看成了 本人生前玩Debian
    maweihao999
        22
    maweihao999  
       2014-08-06 19:24:23 +08:00
    今天正准备帮同学买苹果来着,然后上你们网站上不去,我还奇怪怎么了
    zeinimei
        23
    zeinimei  
       2014-08-06 20:05:15 +08:00
    有钱。。。linode8G。。。
    wy315700
        24
    wy315700  
       2014-08-06 21:48:04 +08:00
    @zeinimei 你看他们的销量就知道很有钱了 8G不算什么
    Yien
        25
    Yien  
       2014-08-06 22:51:04 +08:00 via iPhone
    绑定
    izoabr
        26
    izoabr  
       2014-08-06 23:15:10 +08:00
    @xi4oh4o 这个还真藏不住,去网站注册个用户,通知邮件发过来的时候看邮件源文件里面就能把回源服务器IP给找出来。
    fuxkcsdn
        27
    fuxkcsdn  
       2014-08-06 23:20:32 +08:00
    @izoabr 使用第三方邮件发送服务
    O21
        28
    O21  
       2014-08-06 23:26:02 +08:00
    篮子 用他家的cdn吧 防御ddos还是可以的 http://www.incapsula.com/pricing-and-plans.html

    作为一个商业网站我觉得掏点钱抵御ddos还是有必要的
    izoabr
        29
    izoabr  
       2014-08-06 23:31:25 +08:00
    @fuxkcsdn 大多是邮局都还是会保留原始IP的,除非有专门的服务,或者单独一台服务器来发这种邮件吧,分担出来,就算这台发送邮件的服务器被弄挂了,也只是发不了通知邮件而已。
    fuxkcsdn
        30
    fuxkcsdn  
       2014-08-07 00:12:46 +08:00   ❤️ 1
    @izoabr 我说的是类似这样的第三方邮件发送服务商
    http://sendcloud.org

    仔细看国内网站发过来的验证信息,会发现很多都是用这家的(免费用户每天可发送200封邮件,中小网站只作为发送激活、找回密码功能的话应该是够的)
    我随便找了2家网站发过来的激活邮件(一家coding.net一家luoo.net),查看邮件源文件,里面并没有包含任何这2家网站的IP
    youling
        31
    youling  
       2014-08-07 00:27:13 +08:00
    这种可以去hostloc求助~专注Ddos~
    D过去D过来~
    提供各种高防服务
    xuwenmang
        32
    xuwenmang  
       2014-08-07 02:06:50 +08:00
    就是你们系统管理员回家干的!让你涨工资。。。。
    Actrace
        33
    Actrace  
       2014-08-07 09:18:07 +08:00
    独服在后面组运算单元.
    前面加几个VPS跑NGINX组CDN网络,用DNS轮询解析来均衡前端流量.
    该缓存的缓存.
    一般512MB内存的配置,两三个CDN节点,差不多够用了.
    Linode的带宽资源还是不错的,前端NGINX毫无压力,关键是怕你后端没撑住.
    ljcarsenal
        34
    ljcarsenal  
       2014-08-07 09:44:18 +08:00
    ddos对攻击者有嘛好处
    Lanzi
        35
    Lanzi  
    OP
       2014-08-07 09:45:00 +08:00
    @O21 B+服务才有DDoS服务啊,不便宜···
    @guolincut 故事会没少看哈~
    @wy315700 开支也大,赚点小钱。
    @Actrace 这个听起来看行,自行搭建CDN,如果前端能挡住,后端会有压力?
    Actrace
        36
    Actrace  
       2014-08-07 10:34:45 +08:00
    @Lanzi 前端可以过滤掉一部分非法请求,降低后端压力.话说LZ我都加你了.
    Bluecoda
        37
    Bluecoda  
       2014-08-07 12:24:54 +08:00
    @Lanzi 我也是做RoR的,感觉可以用 https://github.com/kickstarter/rack-attack 先过滤掉一部分的重复攻击,然后再慢慢想办法做CDN,毕竟ddos也是无解的攻击手段
    chens
        38
    chens  
       2014-08-08 22:24:43 +08:00
    换个角度去想,有人ddos攻击也证明了苹果团的确做得不错呀。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1500 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 23:55 · PVG 07:55 · LAX 16:55 · JFK 19:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.