DDOS 攻击的防范教程

作者: 阮一峰

日期: 2018年6月26日

珠峰培训

一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。

需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。

一、DDOS 是什么?

首先,我来解释一下,DDOS 是什么。

举例来说,我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。

很不幸,我得罪了一个流氓。他派出300个人同时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把餐厅瘫痪了。

这就是 DDOS 攻击,它在短时间内发起大量请求,耗尽服务器的资源,无法响应正常的访问,造成网站实质下线。

DDOS 里面的 DOS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。

二、DDOS 的种类

DDOS 不是一种攻击,而是一大类攻击的总称。它有几十种类型,新的攻击方法还在不断发明出来。网站运行的各个环节,都可以是攻击目标。只要把一个环节攻破,使得整个流程跑不起来,就达到了瘫痪服务的目的。

其中,比较常见的一种攻击是 cc 攻击。它就是简单粗暴地送来大量正常的请求,超出服务器的最大承受量,导致宕机。我遭遇的就是 cc 攻击,最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次~300次。我看访问日志的时候,就觉得那些请求像洪水一样涌来,一眨眼就是一大堆,几分钟的时间,日志文件的体积就大了100MB。说实话,这只能算小攻击,但是我的个人网站没有任何防护,服务器还是跟其他人共享的,这种流量一来立刻就下线了。

本文以下的内容都是针对 cc 攻击。

三、备份网站

防范 DDOS 的第一步,就是你要有一个备份网站,或者最低限度有一个临时主页。生产服务器万一下线了,可以立刻切换到备份网站,不至于毫无办法。

备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求。最低限度应该可以显示公告,告诉用户,网站出了问题,正在全力抢修。我的个人网站下线的时候,我就做了一个临时主页,很简单的几行 HTML 代码

这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。

四、HTTP 请求的拦截

如果恶意请求有特征,对付起来很简单:直接拦截它就行了。

HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行了。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。

拦截可以在三个层次做。

(1)专用硬件

Web 服务器的前面可以架设硬件防火墙,专门过滤请求。这种效果最好,但是价格也最贵。

(2)本机防火墙

操作系统都带有软件防火墙,Linux 服务器一般使用 iptables。比如,拦截 IP 地址1.2.3.4的请求,可以执行下面的命令


$ iptables -A INPUT -s 1.2.3.4 -j DROP

iptables 比较复杂,我也不太会用。它对服务器性能有一定影响,也防不住大型攻击。

(3)Web 服务器

Web 服务器也可以过滤请求。拦截 IP 地址1.2.3.4,nginx 的写法如下。


location / {
  deny 1.2.3.4;
}

Apache 的写法是在.htaccess文件里面,加上下面一段。


<RequireAll>
    Require all granted
    Require not ip 1.2.3.4
</RequireAll>

如果想要更精确的控制(比如自动识别并拦截那些频繁请求的 IP 地址),就要用到 WAF。这里就不详细介绍了,nginx 这方面的设置可以参考这里这里

Web 服务器的拦截非常消耗性能,尤其是 Apache。稍微大一点的攻击,这种方法就没用了。

五、带宽扩容

上一节的 HTTP 拦截有一个前提,就是请求必须有特征。但是,真正的 DDOS 攻击是没有特征的,它的请求看上去跟正常请求一样,而且来自不同的 IP 地址,所以没法拦截。这就是为什么 DDOS 特别难防的原因。

当然,这样的 DDOS 攻击的成本不低,普通的网站不会有这种待遇。不过,真要遇到了该怎么办呢,有没有根本性的防范方法呢?

答案很简单,就是设法把这些请求都消化掉。30个人的餐厅来了300人,那就想办法把餐厅扩大(比如临时再租一个门面,并请一些厨师),让300个人都能坐下,那么就不影响正常的用户了。对于网站来说,就是在短时间内急剧扩容,提供几倍或几十倍的带宽,顶住大流量的请求。这就是为什么云服务商可以提供防护产品,因为他们有大量冗余带宽,可以用来消化 DDOS 攻击。

一个朋友传授了一个方法,给我留下深刻印象。某云服务商承诺,每个主机保 5G 流量以下的攻击,他们就一口气买了5个。网站架设在其中一个主机上面,但是不暴露给用户,其他主机都是镜像,用来面对用户,DNS 会把访问量均匀分配到这四台镜像服务器。一旦出现攻击,这种架构就可以防住 20G 的流量,如果有更大的攻击,那就买更多的临时主机,不断扩容镜像。

六、CDN

CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种方法,可以用来防御 DDOS 攻击。

网站内容存放在源服务器,CDN 上面是内容的缓存。用户只允许访问 CDN,如果内容不在 CDN 上,CDN 再向源服务器发出请求。这样的话,只要 CDN 够大,就可以抵御很大的攻击。不过,这种方法有一个前提,网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛),就要想别的办法,尽量减少用户对动态数据的请求。

上一节提到的镜像服务器,本质就是自己搭建一个微型 CDN。各大云服务商提供的高防 IP,背后也是这样做的:网站域名指向高防 IP,它提供一个缓冲层,清洗流量,并对源服务器的内容进行缓存。

这里有一个关键点,一旦上了 CDN,千万不要泄露源服务器的 IP 地址,否则攻击者可以绕过 CDN 直接攻击源服务器,前面的努力都白费。搜一下"绕过 CDN 获取真实 IP 地址",你就会知道国内的黑产行业有多猖獗。

cloudflare 是一个免费 CDN 服务,并提供防火墙,高度推荐。我还要感谢 v2ex.com 的站长 @livid 热情提供帮助,我现在用的就是他们的 CDN 产品。

更新(6月27日)

攻击者看来订阅了我的微博。昨天这篇文章发布没多久,我就又遭受了攻击,他绕过CDN直接攻击源服务器(我不知道 IP 地址怎么泄漏的),流量还大过上一次。

感谢腾讯云的朋友,提供了一个高防 IP,使得网站可以重新上线。现在,我的防护措施是,源服务器前面有 CDN。如果攻击域名,CDN 可以挡住;如果直接攻击源服务器,我买了弹性 IP ,可以动态挂载主机实例,受到攻击就换一个地址。这只是一个技术博客,内容都是免费的,要防到这种地步,我也是无语了。

(完)

优达学城

腾讯课堂

留言(76条)


不过把ip换成国外的, 是否影响备案呢?

看了老师的文章,发现还有一招,就是采用quic协议,
国内的话,腾讯云目前已经支持(我的个人站就部署在上面,所有安利下了这个

哇哦,居然还有免费的能防DDOS的CDN,真棒!

最后一种扩容方式对静态网站有效果,如果是动态网站,后端存储是不是可能成为瓶颈?

百度的云加速,360的云加速(支持https),都有cdn,可防护,还是免费的,大神有木有了解过呢。能防住多大DDOS就不知道了,因为我还没遇到过这种高待遇,(●—●)。

真实的DDOS场景,应该类似攻击餐馆门口的前台排号机(Gateway),很少真的过去消费。300个人混在30个真实客户里面,然后取完号(Token)就走,过了号继续取号,前台每次都必须叫三遍这个号才能过号,结果就是想消费的客户一直在等待,前台一直忙着叫号和过号。

当时我也整理了下DDOS的相关内容
http://www.xuecaijie.com/it/183.html

谢谢分享,学习了。

用过fail2ban,感觉挺好的,也可以供参考.

攻击者的目的并不是为了利益,或者单纯就是觉得好玩。

开头的例子很形象,不错!

最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次左右。
---这个压力才多大呀?还是轮流同时也就4000qps呀,写错了吧?

阮老师这算是以身示范啊[破涕为笑]

大概是哪些黑客们对你爱得深沉

有一种看武侠小说的赶脚 ,前几天看到阮老师博客受到攻击,就一直等着这篇感想

引用Mike的发言:

最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次左右。
---这个压力才多大呀?还是轮流同时也就4000qps呀,写错了吧?

人家说了之前用的是共享主机,合租的,承受力很差的

引用阿飞的发言:

攻击者的目的并不是为了利益,或者单纯就是觉得好玩。

没想明白这有啥好玩的,攻击者应该是个极度阴暗的人

Hacker们能干点正事不?

引用Fu的发言:

Hacker们能干点正事不?

这种只能叫做cracker(骇客)

看来黑客们是想通过老师您来提高大家的服务器防范意识啊,可能并不是出于恶意。

引用阿飞的发言:

攻击者的目的并不是为了利益,或者单纯就是觉得好玩。

这种攻击级别的人,肯定不是不是因为好玩了,因为这种攻击是要钱的

明显是做培训的,之前已经点过几个,还有几个针对老师的教材蹭流量的几个

我觉得,老师啊,你是明人不做暗事,但对方流氓你也别客气

谁和你过不去的

你也别和他们讨论个是非,就是告诉我们,这个培训是流氓

就好

还是老老实实换cloudflare了

真应该把这群害群之马给就出来,暴揍

真心感谢无私的分享技术

阮博士是得罪的什么人了吧?不会是您广告位的竞争对手干吧?

一直跟踪您的博客,一晃已经5,6年了,最初从您翻译的《黑客与画家》认识了您,时间真快啊!

这是第一次给您留言,您再次被攻击,然后又把防御方法和被攻击的心得写出来而且不畏黑客,这使我特别的感动!
更使得我更加敬重您,您让我看到了一颗清澈、纯洁、无私、无畏的心!非常想认识您,我在大连,如果有空您来这边开会或旅行的话,提别想请您吃饭!

最后想对攻击您的黑客说两句,“差不多行了,闹着玩也有个底线!”

cc其实不可怕,高防算法都可防御,主要是误杀率的问题
cdn防ddos有个问题,共有资源没有打的必要,自缓存资源需要自己购买,也有ddos的危险,而且cdn按量付费,恐怕会有问题
至于源服务器的事,类似阿里云之类都有内网保护,直接两台一台外网,一台内网
或者外网服务器和源服务器再加一层 代理,haproxy xinetd之类转发,肯定不会暴露ip
ddos防到底就是暴力,没啥大办法。你可以知道我遭受了什么。。。。

要不要使用一下 zeronet 看看。
GitHub:https://github.com/HelloZeroNet/ZeroNet/

你关了后门,他从窗口跳起来。感觉像看恐怖片,哈哈。

遭攻击说明这个blog很受欢迎嘛,没关系,这些点滴对读者来说都是很好的教科书,坚持住,挺你!

阿里员工最终被腾讯施以援手,?

发起cc攻击,是烧钱的,还有人闲置蛋疼啊。

支持阮老师!
加油

引用elvis的发言:


不过把ip换成国外的, 是否影响备案呢?

国外不用备案

在线网络攻防战

他26号再攻击你的时候,你是抗住了还是没抗住?

我就说昨天怎么看不了网站了。 老师加油,我们支持你!

引用AppleLi的发言:

看来黑客们是想通过老师您来提高大家的服务器防范意识啊,可能并不是出于恶意。

先查下什么是"黑客"

前两天又看不了了,今天又好了

引用subfire的发言:

先查下什么是"黑客"

调侃一下,何必认真

这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。

-------------------------------------

这招 "祸水东引" 用的好,不愧是老湿机,佩服佩服!

人怕出名猪怕壮,阮老师的能力已经吸引很多黑客了

最后一句话有点儿心塞????

看了你的文章,受益颇多,谢谢分享.
支持你,加油!

受教了~学到了不少

很喜欢你的博客,这篇更是难得,“黑客”也是很逗,是在验证你的博客内容么、、、

引用Krist Pan的发言:

这种只能叫做cracker(骇客)

emmmm,cracker应该是搞逆向这块的,而且那种ddos损人不利己的称不上hacker....

引用稻草人的发言:

没想明白这有啥好玩的,攻击者应该是个极度阴暗的人

也许是攻击成本太低了

树大招风

难怪前几天 发现网站登录不上去了,在微信公众号上看的每周分享

引用Krist Pan的发言:

这种只能叫做cracker(骇客)


不能叫cracker,只能叫fucker

正是别人的攻击,使得自己变得更强!

网站安全的DEMO 呵呵 学习啦

人怕出名猪怕壮,阮老师越打越强,哈哈哈

360网站卫士感觉挺好的,免费还支持ssl。自己买了个学生机瞎玩,应该也能防攻击吧

最可怕的是 - -
攻击你的不是hacker而是云服务商的人(为了赚个流量钱也是拼。。。)
这就引人深思了

看来最后还是得花钱啊

应该是 “cloudflare 提供免费的CDN服务”。而不是说"cloudflare是一个免费的CDN服务"

不用阿里云的你用腾讯的,阿里好伤心

学习下。我也有个人博客,不过没这等待遇啦。。。

定义nginx的访问规则,异常访问(1m30次等规则)加入异常IP日志列表
定时处理异常IP日志列表,ip高频出现到一定次数加入防火墙黑名单,防火墙默认规则开启就行

"最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。"

这个比喻可能不太恰当。客户端(食客)请求进入服务器(餐厅)的唯一通道就是前门(暴露的端口,比如80),DDOS攻击往往是伪装成合法的请求。攻击是在大量的恶意请求(假装食客的流氓)请求服务器响应(进店吃饭),导致服务器无法为正常的请求(真的食客)提供服务。

引用S的发言:

定义nginx的访问规则,异常访问(1m30次等规则)加入异常IP日志列表
定时处理异常IP日志列表,ip高频出现到一定次数加入防火墙黑名单,防火墙默认规则开启就行

兄弟你看的不认真呀, 作者有提到这个,“Web 服务器的拦截非常消耗性能,尤其是 Apache。稍微大一点的攻击,这种方法就没用了。”

DDOS攻击,治标不治本。只能短暂瘫痪对方网站,向阮老师这样的博客,没有多大瘫痪的价值。真不知道他们怎么想的,可能是想拿老阮的网站来做DDOS教学演示吧。

DDOS攻击,治标不治本。只能短暂瘫痪对方网站,向阮老师这样的博客,没有多大瘫痪的价值。真不知道他们怎么想的,可能是想拿老阮的网站来做DDOS教学演示吧。

引用Bosn的发言:

阿里云防DDOS有成熟产品可以直接拿来用滴

https://help.aliyun.com/document_detail/68482.html?spm=5176.10695662.1996646101.searchclickresult.514e707eNoNn14

你怕不是在逗吧?
https://help.aliyun.com/document_detail/63646.html?spm=a2c4g.11186623.2.5.bNCDSA#h2-u8BA1u8D39u65B9u5F0F1
看看价格??
上个cf 200刀套餐就够了,漏源ip是运维配置的问题

我也遇到过网络流氓,要在网站上挂病毒(说是游戏广告),不给挂就DDOS你,我用WebServer 黑名单来档, 撑了几天终于对方放弃了.

就算上了CDN, 也保护不了真实的ip啊, 终归有一些请求是没办法走CDN的, 比如ajax之类的.

林子大了,总有人看你不爽

忽然发现Twitter上有关注你

感觉有了这次攻击才能看到阮大大分享这次的内容,(*^▽^*),感谢阮大大的分享,感觉这是一个宝贵的经验

就您的博客来看的话,大量是静态的资源,可以不用服务器吧,直接放cdn上,后台博客管理可以设置ip白名单之类的,来过滤。最后最有可能被攻击的就是留言系统了,不过这不影响网站的主要访问。留言系统可以做个简单的ddos防御,分布式DDOS攻击代价是很大的,留言系统可以随便攻击,只要对方舍得烧钱。您可以把网站换成https,感觉要好看一点。

我们提供后端技术产品的,几乎每个月都来次攻击。已经习惯了。最终就是成本问题,购买国内几家大型企业的高防IP,多买些流量,基本没问题。就看你愿意付多少成本。

如果门口流量只有10MB,同时进入100MB流量, 自己服务器技术上怎么设置都没用,成本

哈哈 木秀于林呀

引用Mike的发言:

最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次左右。
---这个压力才多大呀?还是轮流同时也就4000qps呀,写错了吧?

我记得单机nginx就能10万qps的,qps不太值钱
如果是tps就吊炸天了。

这种可以通过服务器上配置最大请求数来防止吧?
打个比方说:Windows 的IIS服务器 上 可以针对网站限制某个IP地址毫秒内的最大请求数,如果超过设定的上限,将直接返回403.那么一般来说,不需要多高的服务器性能就可以防止类似 20多个IP地址每秒200个请求的攻击。

也是那个时候您遭受到ddos攻击我才关注了一下网站的攻防,前几天面试的时候就被问到了,感谢,又让我学到了不少知识。。。
希望您能写出更多好的博客。

我要发表看法

«-必填

«-必填,不公开

«-我信任你,不会填写广告链接