一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。
需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。
一、DDOS 是什么?
首先,我来解释一下,DDOS 是什么。
举例来说,我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。
很不幸,我得罪了一个流氓。他派出300个人同时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把餐厅瘫痪了。
这就是 DDOS 攻击,它在短时间内发起大量请求,耗尽服务器的资源,无法响应正常的访问,造成网站实质下线。
DDOS 里面的 DOS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。
二、DDOS 的种类
DDOS 不是一种攻击,而是一大类攻击的总称。它有几十种类型,新的攻击方法还在不断发明出来。网站运行的各个环节,都可以是攻击目标。只要把一个环节攻破,使得整个流程跑不起来,就达到了瘫痪服务的目的。
其中,比较常见的一种攻击是 cc 攻击。它就是简单粗暴地送来大量正常的请求,超出服务器的最大承受量,导致宕机。我遭遇的就是 cc 攻击,最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次~300次。我看访问日志的时候,就觉得那些请求像洪水一样涌来,一眨眼就是一大堆,几分钟的时间,日志文件的体积就大了100MB。说实话,这只能算小攻击,但是我的个人网站没有任何防护,服务器还是跟其他人共享的,这种流量一来立刻就下线了。
本文以下的内容都是针对 cc 攻击。
三、备份网站
防范 DDOS 的第一步,就是你要有一个备份网站,或者最低限度有一个临时主页。生产服务器万一下线了,可以立刻切换到备份网站,不至于毫无办法。
备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求。最低限度应该可以显示公告,告诉用户,网站出了问题,正在全力抢修。我的个人网站下线的时候,我就做了一个临时主页,很简单的几行 HTML 代码。
这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。
四、HTTP 请求的拦截
如果恶意请求有特征,对付起来很简单:直接拦截它就行了。
HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行了。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。
拦截可以在三个层次做。
(1)专用硬件
Web 服务器的前面可以架设硬件防火墙,专门过滤请求。这种效果最好,但是价格也最贵。
(2)本机防火墙
操作系统都带有软件防火墙,Linux 服务器一般使用 iptables。比如,拦截 IP 地址1.2.3.4
的请求,可以执行下面的命令。
$ iptables -A INPUT -s 1.2.3.4 -j DROP
iptables 比较复杂,我也不太会用。它对服务器性能有一定影响,也防不住大型攻击。
(3)Web 服务器
Web 服务器也可以过滤请求。拦截 IP 地址1.2.3.4
,nginx 的写法如下。
location / { deny 1.2.3.4; }
Apache 的写法是在.htaccess
文件里面,加上下面一段。
<RequireAll> Require all granted Require not ip 1.2.3.4 </RequireAll>
如果想要更精确的控制(比如自动识别并拦截那些频繁请求的 IP 地址),就要用到 WAF。这里就不详细介绍了,nginx 这方面的设置可以参考这里和这里。
Web 服务器的拦截非常消耗性能,尤其是 Apache。稍微大一点的攻击,这种方法就没用了。
五、带宽扩容
上一节的 HTTP 拦截有一个前提,就是请求必须有特征。但是,真正的 DDOS 攻击是没有特征的,它的请求看上去跟正常请求一样,而且来自不同的 IP 地址,所以没法拦截。这就是为什么 DDOS 特别难防的原因。
当然,这样的 DDOS 攻击的成本不低,普通的网站不会有这种待遇。不过,真要遇到了该怎么办呢,有没有根本性的防范方法呢?
答案很简单,就是设法把这些请求都消化掉。30个人的餐厅来了300人,那就想办法把餐厅扩大(比如临时再租一个门面,并请一些厨师),让300个人都能坐下,那么就不影响正常的用户了。对于网站来说,就是在短时间内急剧扩容,提供几倍或几十倍的带宽,顶住大流量的请求。这就是为什么云服务商可以提供防护产品,因为他们有大量冗余带宽,可以用来消化 DDOS 攻击。
一个朋友传授了一个方法,给我留下深刻印象。某云服务商承诺,每个主机保 5G 流量以下的攻击,他们就一口气买了5个。网站架设在其中一个主机上面,但是不暴露给用户,其他主机都是镜像,用来面对用户,DNS 会把访问量均匀分配到这四台镜像服务器。一旦出现攻击,这种架构就可以防住 20G 的流量,如果有更大的攻击,那就买更多的临时主机,不断扩容镜像。
六、CDN
CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种方法,可以用来防御 DDOS 攻击。
网站内容存放在源服务器,CDN 上面是内容的缓存。用户只允许访问 CDN,如果内容不在 CDN 上,CDN 再向源服务器发出请求。这样的话,只要 CDN 够大,就可以抵御很大的攻击。不过,这种方法有一个前提,网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛),就要想别的办法,尽量减少用户对动态数据的请求。
上一节提到的镜像服务器,本质就是自己搭建一个微型 CDN。各大云服务商提供的高防 IP,背后也是这样做的:网站域名指向高防 IP,它提供一个缓冲层,清洗流量,并对源服务器的内容进行缓存。
这里有一个关键点,一旦上了 CDN,千万不要泄露源服务器的 IP 地址,否则攻击者可以绕过 CDN 直接攻击源服务器,前面的努力都白费。搜一下"绕过 CDN 获取真实 IP 地址",你就会知道国内的黑产行业有多猖獗。
cloudflare 是一个免费 CDN 服务,并提供防火墙,高度推荐。我还要感谢 v2ex.com 的站长 @livid 热情提供帮助,我现在用的就是他们的 CDN 产品。
更新(6月27日)
攻击者看来订阅了我的微博。昨天这篇文章发布没多久,我就又遭受了攻击,他绕过CDN直接攻击源服务器(我不知道 IP 地址怎么泄漏的),流量还大过上一次。
感谢腾讯云的朋友,提供了一个高防 IP,使得网站可以重新上线。现在,我的防护措施是,源服务器前面有 CDN。如果攻击域名,CDN 可以挡住;如果直接攻击源服务器,我买了弹性 IP ,可以动态挂载主机实例,受到攻击就换一个地址。这只是一个技术博客,内容都是免费的,要防到这种地步,我也是无语了。
(完)
elvis 说:
赞
不过把ip换成国外的, 是否影响备案呢?
2018年6月26日 18:13 | # | 引用
周陆军 说:
看了老师的文章,发现还有一招,就是采用quic协议,
国内的话,腾讯云目前已经支持(我的个人站就部署在上面,所有安利下了这个
2018年6月26日 19:00 | # | 引用
khirye 说:
哇哦,居然还有免费的能防DDOS的CDN,真棒!
2018年6月26日 19:02 | # | 引用
YongXMan 说:
最后一种扩容方式对静态网站有效果,如果是动态网站,后端存储是不是可能成为瓶颈?
2018年6月26日 23:04 | # | 引用
多多洛 说:
百度的云加速,360的云加速(支持https),都有cdn,可防护,还是免费的,大神有木有了解过呢。能防住多大DDOS就不知道了,因为我还没遇到过这种高待遇,(●—●)。
2018年6月27日 05:05 | # | 引用
limccn 说:
真实的DDOS场景,应该类似攻击餐馆门口的前台排号机(Gateway),很少真的过去消费。300个人混在30个真实客户里面,然后取完号(Token)就走,过了号继续取号,前台每次都必须叫三遍这个号才能过号,结果就是想消费的客户一直在等待,前台一直忙着叫号和过号。
2018年6月27日 08:45 | # | 引用
GavinHsueh 说:
当时我也整理了下DDOS的相关内容
http://www.xuecaijie.com/it/183.html
2018年6月27日 08:54 | # | 引用
季庄新闻 说:
谢谢分享,学习了。
用过fail2ban,感觉挺好的,也可以供参考.
2018年6月27日 09:11 | # | 引用
阿飞 说:
攻击者的目的并不是为了利益,或者单纯就是觉得好玩。
2018年6月27日 09:25 | # | 引用
Mike 说:
开头的例子很形象,不错!
2018年6月27日 09:39 | # | 引用
Mike 说:
最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次左右。
---这个压力才多大呀?还是轮流同时也就4000qps呀,写错了吧?
2018年6月27日 09:41 | # | 引用
淮左名都 说:
阮老师这算是以身示范啊[破涕为笑]
2018年6月27日 10:19 | # | 引用
木子水吉 说:
大概是哪些黑客们对你爱得深沉
2018年6月27日 10:20 | # | 引用
machine_su 说:
有一种看武侠小说的赶脚 ,前几天看到阮老师博客受到攻击,就一直等着这篇感想
2018年6月27日 10:45 | # | 引用
稻草人 说:
人家说了之前用的是共享主机,合租的,承受力很差的
2018年6月27日 10:59 | # | 引用
稻草人 说:
没想明白这有啥好玩的,攻击者应该是个极度阴暗的人
2018年6月27日 11:00 | # | 引用
Fu 说:
Hacker们能干点正事不?
2018年6月27日 11:02 | # | 引用
Krist Pan 说:
这种只能叫做cracker(骇客)
2018年6月27日 11:29 | # | 引用
AppleLi 说:
看来黑客们是想通过老师您来提高大家的服务器防范意识啊,可能并不是出于恶意。
2018年6月27日 11:33 | # | 引用
当年看您财经书的人 说:
这种攻击级别的人,肯定不是不是因为好玩了,因为这种攻击是要钱的
明显是做培训的,之前已经点过几个,还有几个针对老师的教材蹭流量的几个
我觉得,老师啊,你是明人不做暗事,但对方流氓你也别客气
谁和你过不去的
你也别和他们讨论个是非,就是告诉我们,这个培训是流氓
就好
2018年6月27日 11:37 | # | 引用
222 说:
还是老老实实换cloudflare了
2018年6月27日 12:40 | # | 引用
ace 说:
真应该把这群害群之马给就出来,暴揍
2018年6月27日 12:53 | # | 引用
狼和快车 说:
真心感谢无私的分享技术
2018年6月27日 14:03 | # | 引用
Bosn 说:
阿里云防DDOS有成熟产品可以直接拿来用滴
https://help.aliyun.com/document_detail/68482.html?spm=5176.10695662.1996646101.searchclickresult.514e707eNoNn14
2018年6月27日 14:11 | # | 引用
吕鹏 说:
阮博士是得罪的什么人了吧?不会是您广告位的竞争对手干吧?
一直跟踪您的博客,一晃已经5,6年了,最初从您翻译的《黑客与画家》认识了您,时间真快啊!
这是第一次给您留言,您再次被攻击,然后又把防御方法和被攻击的心得写出来而且不畏黑客,这使我特别的感动!
更使得我更加敬重您,您让我看到了一颗清澈、纯洁、无私、无畏的心!非常想认识您,我在大连,如果有空您来这边开会或旅行的话,提别想请您吃饭!
最后想对攻击您的黑客说两句,“差不多行了,闹着玩也有个底线!”
2018年6月27日 14:31 | # | 引用
gabe 说:
cc其实不可怕,高防算法都可防御,主要是误杀率的问题
cdn防ddos有个问题,共有资源没有打的必要,自缓存资源需要自己购买,也有ddos的危险,而且cdn按量付费,恐怕会有问题
至于源服务器的事,类似阿里云之类都有内网保护,直接两台一台外网,一台内网
或者外网服务器和源服务器再加一层 代理,haproxy xinetd之类转发,肯定不会暴露ip
ddos防到底就是暴力,没啥大办法。你可以知道我遭受了什么。。。。
2018年6月27日 15:18 | # | 引用
陈佳 说:
要不要使用一下 zeronet 看看。
GitHub:https://github.com/HelloZeroNet/ZeroNet/
2018年6月27日 17:14 | # | 引用
邹振忠 说:
你关了后门,他从窗口跳起来。感觉像看恐怖片,哈哈。
2018年6月27日 21:03 | # | 引用
dj 说:
遭攻击说明这个blog很受欢迎嘛,没关系,这些点滴对读者来说都是很好的教科书,坚持住,挺你!
2018年6月27日 21:07 | # | 引用
展翼骐骥 说:
阿里员工最终被腾讯施以援手,?
2018年6月27日 22:37 | # | 引用
帅哥 说:
发起cc攻击,是烧钱的,还有人闲置蛋疼啊。
2018年6月28日 01:09 | # | 引用
ramble 说:
支持阮老师!
加油
2018年6月28日 12:32 | # | 引用
郝海涛 说:
国外不用备案
2018年6月28日 12:47 | # | 引用
阮老师的小粉丝 说:
在线网络攻防战
2018年6月28日 14:54 | # | 引用
jack 说:
他26号再攻击你的时候,你是抗住了还是没抗住?
2018年6月28日 15:23 | # | 引用
一个马步向前 说:
我就说昨天怎么看不了网站了。 老师加油,我们支持你!
2018年6月29日 09:28 | # | 引用
subfire 说:
先查下什么是"黑客"
2018年6月29日 09:47 | # | 引用
flower 说:
前两天又看不了了,今天又好了
2018年6月29日 10:25 | # | 引用
AppleLi 说:
调侃一下,何必认真
2018年6月29日 14:14 | # | 引用
Singu 说:
这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。
-------------------------------------
这招 "祸水东引" 用的好,不愧是老湿机,佩服佩服!
2018年6月29日 14:17 | # | 引用
gzg1023 说:
人怕出名猪怕壮,阮老师的能力已经吸引很多黑客了
2018年6月29日 16:46 | # | 引用
赋苏 说:
最后一句话有点儿心塞????
2018年6月29日 18:33 | # | 引用
linux265 说:
看了你的文章,受益颇多,谢谢分享.
支持你,加油!
2018年6月29日 23:34 | # | 引用
Gxl 说:
受教了~学到了不少
2018年6月30日 09:24 | # | 引用
斑竹 说:
很喜欢你的博客,这篇更是难得,“黑客”也是很逗,是在验证你的博客内容么、、、
2018年6月30日 15:21 | # | 引用
h01mes 说:
emmmm,cracker应该是搞逆向这块的,而且那种ddos损人不利己的称不上hacker....
2018年7月 2日 09:43 | # | 引用
t-link 说:
也许是攻击成本太低了
2018年7月 2日 11:48 | # | 引用
Devshoo 说:
树大招风
2018年7月 2日 12:03 | # | 引用
酱油侠 说:
难怪前几天 发现网站登录不上去了,在微信公众号上看的每周分享
2018年7月 2日 14:39 | # | 引用
唉唉唉 说:
不能叫cracker,只能叫fucker
2018年7月 2日 18:00 | # | 引用
李懂 说:
正是别人的攻击,使得自己变得更强!
2018年7月 3日 09:56 | # | 引用
扬沙 说:
网站安全的DEMO 呵呵 学习啦
2018年7月 3日 17:29 | # | 引用
xiaotian044500 说:
人怕出名猪怕壮,阮老师越打越强,哈哈哈
2018年7月 3日 19:29 | # | 引用
一只菜鸟 说:
360网站卫士感觉挺好的,免费还支持ssl。自己买了个学生机瞎玩,应该也能防攻击吧
2018年7月 3日 20:32 | # | 引用
马萨卡 说:
最可怕的是 - -
攻击你的不是hacker而是云服务商的人(为了赚个流量钱也是拼。。。)
这就引人深思了
2018年7月 5日 19:48 | # | 引用
shdlei 说:
看来最后还是得花钱啊
2018年7月 5日 23:56 | # | 引用
pencil 说:
应该是 “cloudflare 提供免费的CDN服务”。而不是说"cloudflare是一个免费的CDN服务"
2018年7月 6日 06:07 | # | 引用
业余草 说:
不用阿里云的你用腾讯的,阿里好伤心
2018年7月 8日 15:21 | # | 引用
见闻 说:
学习下。我也有个人博客,不过没这等待遇啦。。。
2018年7月10日 13:24 | # | 引用
S 说:
定义nginx的访问规则,异常访问(1m30次等规则)加入异常IP日志列表
定时处理异常IP日志列表,ip高频出现到一定次数加入防火墙黑名单,防火墙默认规则开启就行
2018年7月11日 17:26 | # | 引用
Jason 说:
"最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。"
这个比喻可能不太恰当。客户端(食客)请求进入服务器(餐厅)的唯一通道就是前门(暴露的端口,比如80),DDOS攻击往往是伪装成合法的请求。攻击是在大量的恶意请求(假装食客的流氓)请求服务器响应(进店吃饭),导致服务器无法为正常的请求(真的食客)提供服务。
2018年7月12日 18:16 | # | 引用
richt 说:
兄弟你看的不认真呀, 作者有提到这个,“Web 服务器的拦截非常消耗性能,尤其是 Apache。稍微大一点的攻击,这种方法就没用了。”
2018年7月13日 11:22 | # | 引用
公奶牛 说:
DDOS攻击,治标不治本。只能短暂瘫痪对方网站,向阮老师这样的博客,没有多大瘫痪的价值。真不知道他们怎么想的,可能是想拿老阮的网站来做DDOS教学演示吧。
2018年7月16日 07:40 | # | 引用
公奶牛 说:
DDOS攻击,治标不治本。只能短暂瘫痪对方网站,向阮老师这样的博客,没有多大瘫痪的价值。真不知道他们怎么想的,可能是想拿老阮的网站来做DDOS教学演示吧。
2018年7月16日 07:40 | # | 引用
333 说:
你怕不是在逗吧?
https://help.aliyun.com/document_detail/63646.html?spm=a2c4g.11186623.2.5.bNCDSA#h2-u8BA1u8D39u65B9u5F0F1
看看价格??
上个cf 200刀套餐就够了,漏源ip是运维配置的问题
2018年7月17日 17:00 | # | 引用
Imbiss Chen 说:
我也遇到过网络流氓,要在网站上挂病毒(说是游戏广告),不给挂就DDOS你,我用WebServer 黑名单来档, 撑了几天终于对方放弃了.
2018年7月17日 17:16 | # | 引用
NoDocCat 说:
就算上了CDN, 也保护不了真实的ip啊, 终归有一些请求是没办法走CDN的, 比如ajax之类的.
2018年7月17日 21:46 | # | 引用
No 说:
林子大了,总有人看你不爽
2018年7月19日 10:03 | # | 引用
青丝绾正 说:
忽然发现Twitter上有关注你
2018年7月20日 22:55 | # | 引用
懒猫 说:
感觉有了这次攻击才能看到阮大大分享这次的内容,(*^▽^*),感谢阮大大的分享,感觉这是一个宝贵的经验
2018年7月26日 19:01 | # | 引用
I303 说:
就您的博客来看的话,大量是静态的资源,可以不用服务器吧,直接放cdn上,后台博客管理可以设置ip白名单之类的,来过滤。最后最有可能被攻击的就是留言系统了,不过这不影响网站的主要访问。留言系统可以做个简单的ddos防御,分布式DDOS攻击代价是很大的,留言系统可以随便攻击,只要对方舍得烧钱。您可以把网站换成https,感觉要好看一点。
2018年7月28日 10:52 | # | 引用
magic 说:
我们提供后端技术产品的,几乎每个月都来次攻击。已经习惯了。最终就是成本问题,购买国内几家大型企业的高防IP,多买些流量,基本没问题。就看你愿意付多少成本。
如果门口流量只有10MB,同时进入100MB流量, 自己服务器技术上怎么设置都没用,成本
2018年7月31日 09:55 | # | 引用
kebingxing 说:
哈哈 木秀于林呀
2018年8月14日 20:41 | # | 引用
大灰狼 说:
我记得单机nginx就能10万qps的,qps不太值钱
如果是tps就吊炸天了。
2018年8月16日 19:46 | # | 引用
Value 说:
这种可以通过服务器上配置最大请求数来防止吧?
打个比方说:Windows 的IIS服务器 上 可以针对网站限制某个IP地址毫秒内的最大请求数,如果超过设定的上限,将直接返回403.那么一般来说,不需要多高的服务器性能就可以防止类似 20多个IP地址每秒200个请求的攻击。
2018年9月18日 12:51 | # | 引用
萌一秒 说:
也是那个时候您遭受到ddos攻击我才关注了一下网站的攻防,前几天面试的时候就被问到了,感谢,又让我学到了不少知识。。。
希望您能写出更多好的博客。
2018年9月23日 21:49 | # | 引用
牛小布 说:
我觉得这个人应该是用你测试
2018年12月18日 15:27 | # | 引用
ghppph 说:
让你被动提升能力 我觉得这种文章的实用性和实战性都很强 希望多来点儿(坏笑)
2019年2月 1日 11:14 | # | 引用
Armstrong 说:
我防止野蛮攻击的方法就是层层防御,在无其它前端服务器(CDN 等)的情况下,利用 Nginx 进行 IP 请求限制,开启 PHP 的缓存(将输出的 HTML 网页进行缓存),在 MariaDB 进行数据库查询缓存。当检测到攻击时,系统会进入紧急状态,在这种情况下,网站将会降低服务质量,例如禁止访问搜索页面,禁止注册新用户,甚至禁止直行任何 Post 请求。我不是真正搞技术的,并且一直使用 WordPress,因此防范攻击的手法非常拙劣。用上了 CF 之后,那倒是可以抵挡非智能的攻击,只要启用 reCAPTCHA,那些不会解决 reCAPTCHA 的攻击机就变得毫无作用了。哎,防止攻击这事儿也只能是魔高一尺道高一丈。
2019年3月13日 21:47 | # | 引用
卡卡 说:
明显是政府行为
2019年4月11日 15:29 | # | 引用
炸天邦五五开 说:
我司最近被攻击的不行不行的,最高峰800G流量
2019年5月13日 14:36 | # | 引用
丢火车 说:
我觉得攻击者肯定留过言
2019年6月 5日 09:54 | # | 引用
nana 说:
这是做的什么业务,会遭受这么大的攻击
2019年6月28日 14:16 | # | 引用
123 说:
看来Ddos攻击成本不高,否则不至于做到这种程度。
2019年8月19日 12:45 | # | 引用
黄科铭 说:
1200g攻击,三天三夜,没办法了,当初没装安全机(哭)
2019年9月12日 14:30 | # | 引用
NGINX 说:
一直在关注您的博客,内容堪比百度百科!没事来看看就能收获好多东西,阮老师加油!
2020年2月 4日 16:16 | # | 引用
盛 说:
我记得以前做的网站有次一晚上被cc打了4万多次,就4个连号ip,都拦截了,也是小站
2020年5月17日 10:24 | # | 引用
江村暮 说:
现在DDOS攻击成本很低的,最近就被别人打了,还特意把账单发给我,30GBPS月票加上新人优惠只需要7块钱…
2020年6月25日 20:45 | # | 引用
AmbroseRen 说:
你知名度高,作为靶机练手真合适
2020年12月 9日 17:33 | # | 引用
牛逼 说:
你这是限流
2021年2月 7日 17:59 | # | 引用
Stephen 说:
Cloudflare 有专门的 IP 地址范围,你可以在你的云服务商配置防火墙,只允许来自 Cloudflare 的 IP.
2021年3月20日 08:38 | # | 引用
mill 说:
最近网站被cc攻击,50gb,ip主要是印尼,东南亚国家的,同行恶意竞争,不耻。自己不能考实力赚钱,就想搞别的的,目前业内几乎没听说过这种同行,没有职业道德。
2021年4月26日 17:29 | # | 引用
明月登楼 说:
碰到这种情况,只能说明攻击方是花了钱实施的攻击,所以面对这种攻击我的态度就是关闭服务器,有钱人的世界观咱不懂,但让其花钱的道理还是懂的,有钱就花着呗!我一个个人博客受到这么高的待遇也算是很有逼格了!有钱攻击一天,我就关闭服务器一天,两天就关闭两天,我就不信我碰上马云或者比尔盖茨这种富豪了!
2021年8月28日 11:50 | # | 引用
konglee 说:
有可能是国外的一些coder发现了这个宝藏博客,不希望国人能够学习成长所以攻击的吧,毕竟最近中国和美国打得火热,合理怀疑有人恶意攻击。
2021年11月30日 09:47 | # | 引用
像风一样4826 说:
不会是有人在测试吧
2022年1月18日 14:07 | # | 引用
小学生 说:
假如配合 service workers + 纯静态数据(文件),不部署服务器,是否还要面临ddos呢?简单点cf 的worker,复杂点纯静态html,自己配service workers路由,做虚拟的api接口。所有访问走虚拟路径(location.search)? + 入口,强制https。虚拟路由之外没有标记路径的默认返回403。这样的话,非常规浏览器或浏览器private模式不允许service workers运行,就成了没用的一个静态页面,例如curl或其他手段去访问,返回只是静态页面,没有任何动态内容,也没有接口。假如加载站外的话,可以绑定domain和path/search的形式,只能通过固定接口才能返回内容,又或者用类似google的tag manager system, 用event push这样如何?
2022年2月24日 11:45 | # | 引用
luu 说:
攻击者是你粉丝,想看看你的反应
2023年4月 6日 01:04 | # | 引用