DDOS 攻击的防范教程

作者: 阮一峰

日期: 2018年6月26日

一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。

需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。

一、DDOS 是什么?

首先,我来解释一下,DDOS 是什么。

举例来说,我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。

很不幸,我得罪了一个流氓。他派出300个人同时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把餐厅瘫痪了。

这就是 DDOS 攻击,它在短时间内发起大量请求,耗尽服务器的资源,无法响应正常的访问,造成网站实质下线。

DDOS 里面的 DOS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。

二、DDOS 的种类

DDOS 不是一种攻击,而是一大类攻击的总称。它有几十种类型,新的攻击方法还在不断发明出来。网站运行的各个环节,都可以是攻击目标。只要把一个环节攻破,使得整个流程跑不起来,就达到了瘫痪服务的目的。

其中,比较常见的一种攻击是 cc 攻击。它就是简单粗暴地送来大量正常的请求,超出服务器的最大承受量,导致宕机。我遭遇的就是 cc 攻击,最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次~300次。我看访问日志的时候,就觉得那些请求像洪水一样涌来,一眨眼就是一大堆,几分钟的时间,日志文件的体积就大了100MB。说实话,这只能算小攻击,但是我的个人网站没有任何防护,服务器还是跟其他人共享的,这种流量一来立刻就下线了。

本文以下的内容都是针对 cc 攻击。

三、备份网站

防范 DDOS 的第一步,就是你要有一个备份网站,或者最低限度有一个临时主页。生产服务器万一下线了,可以立刻切换到备份网站,不至于毫无办法。

备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求。最低限度应该可以显示公告,告诉用户,网站出了问题,正在全力抢修。我的个人网站下线的时候,我就做了一个临时主页,很简单的几行 HTML 代码

这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。

四、HTTP 请求的拦截

如果恶意请求有特征,对付起来很简单:直接拦截它就行了。

HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行了。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。

拦截可以在三个层次做。

(1)专用硬件

Web 服务器的前面可以架设硬件防火墙,专门过滤请求。这种效果最好,但是价格也最贵。

(2)本机防火墙

操作系统都带有软件防火墙,Linux 服务器一般使用 iptables。比如,拦截 IP 地址1.2.3.4的请求,可以执行下面的命令


$ iptables -A INPUT -s 1.2.3.4 -j DROP

iptables 比较复杂,我也不太会用。它对服务器性能有一定影响,也防不住大型攻击。

(3)Web 服务器

Web 服务器也可以过滤请求。拦截 IP 地址1.2.3.4,nginx 的写法如下。


location / {
  deny 1.2.3.4;
}

Apache 的写法是在.htaccess文件里面,加上下面一段。


<RequireAll>
    Require all granted
    Require not ip 1.2.3.4
</RequireAll>

如果想要更精确的控制(比如自动识别并拦截那些频繁请求的 IP 地址),就要用到 WAF。这里就不详细介绍了,nginx 这方面的设置可以参考这里这里

Web 服务器的拦截非常消耗性能,尤其是 Apache。稍微大一点的攻击,这种方法就没用了。

五、带宽扩容

上一节的 HTTP 拦截有一个前提,就是请求必须有特征。但是,真正的 DDOS 攻击是没有特征的,它的请求看上去跟正常请求一样,而且来自不同的 IP 地址,所以没法拦截。这就是为什么 DDOS 特别难防的原因。

当然,这样的 DDOS 攻击的成本不低,普通的网站不会有这种待遇。不过,真要遇到了该怎么办呢,有没有根本性的防范方法呢?

答案很简单,就是设法把这些请求都消化掉。30个人的餐厅来了300人,那就想办法把餐厅扩大(比如临时再租一个门面,并请一些厨师),让300个人都能坐下,那么就不影响正常的用户了。对于网站来说,就是在短时间内急剧扩容,提供几倍或几十倍的带宽,顶住大流量的请求。这就是为什么云服务商可以提供防护产品,因为他们有大量冗余带宽,可以用来消化 DDOS 攻击。

一个朋友传授了一个方法,给我留下深刻印象。某云服务商承诺,每个主机保 5G 流量以下的攻击,他们就一口气买了5个。网站架设在其中一个主机上面,但是不暴露给用户,其他主机都是镜像,用来面对用户,DNS 会把访问量均匀分配到这四台镜像服务器。一旦出现攻击,这种架构就可以防住 20G 的流量,如果有更大的攻击,那就买更多的临时主机,不断扩容镜像。

六、CDN

CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种方法,可以用来防御 DDOS 攻击。

网站内容存放在源服务器,CDN 上面是内容的缓存。用户只允许访问 CDN,如果内容不在 CDN 上,CDN 再向源服务器发出请求。这样的话,只要 CDN 够大,就可以抵御很大的攻击。不过,这种方法有一个前提,网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛),就要想别的办法,尽量减少用户对动态数据的请求。

上一节提到的镜像服务器,本质就是自己搭建一个微型 CDN。各大云服务商提供的高防 IP,背后也是这样做的:网站域名指向高防 IP,它提供一个缓冲层,清洗流量,并对源服务器的内容进行缓存。

这里有一个关键点,一旦上了 CDN,千万不要泄露源服务器的 IP 地址,否则攻击者可以绕过 CDN 直接攻击源服务器,前面的努力都白费。搜一下"绕过 CDN 获取真实 IP 地址",你就会知道国内的黑产行业有多猖獗。

cloudflare 是一个免费 CDN 服务,并提供防火墙,高度推荐。我还要感谢 v2ex.com 的站长 @livid 热情提供帮助,我现在用的就是他们的 CDN 产品。

更新(6月27日)

攻击者看来订阅了我的微博。昨天这篇文章发布没多久,我就又遭受了攻击,他绕过CDN直接攻击源服务器(我不知道 IP 地址怎么泄漏的),流量还大过上一次。

感谢腾讯云的朋友,提供了一个高防 IP,使得网站可以重新上线。现在,我的防护措施是,源服务器前面有 CDN。如果攻击域名,CDN 可以挡住;如果直接攻击源服务器,我买了弹性 IP ,可以动态挂载主机实例,受到攻击就换一个地址。这只是一个技术博客,内容都是免费的,要防到这种地步,我也是无语了。

(完)

留言(100条)


不过把ip换成国外的, 是否影响备案呢?

看了老师的文章,发现还有一招,就是采用quic协议,
国内的话,腾讯云目前已经支持(我的个人站就部署在上面,所有安利下了这个

哇哦,居然还有免费的能防DDOS的CDN,真棒!

最后一种扩容方式对静态网站有效果,如果是动态网站,后端存储是不是可能成为瓶颈?

百度的云加速,360的云加速(支持https),都有cdn,可防护,还是免费的,大神有木有了解过呢。能防住多大DDOS就不知道了,因为我还没遇到过这种高待遇,(●—●)。

真实的DDOS场景,应该类似攻击餐馆门口的前台排号机(Gateway),很少真的过去消费。300个人混在30个真实客户里面,然后取完号(Token)就走,过了号继续取号,前台每次都必须叫三遍这个号才能过号,结果就是想消费的客户一直在等待,前台一直忙着叫号和过号。

当时我也整理了下DDOS的相关内容
http://www.xuecaijie.com/it/183.html

谢谢分享,学习了。

用过fail2ban,感觉挺好的,也可以供参考.

攻击者的目的并不是为了利益,或者单纯就是觉得好玩。

开头的例子很形象,不错!

最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次左右。
---这个压力才多大呀?还是轮流同时也就4000qps呀,写错了吧?

阮老师这算是以身示范啊[破涕为笑]

大概是哪些黑客们对你爱得深沉

有一种看武侠小说的赶脚 ,前几天看到阮老师博客受到攻击,就一直等着这篇感想

引用Mike的发言:

最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次左右。
---这个压力才多大呀?还是轮流同时也就4000qps呀,写错了吧?

人家说了之前用的是共享主机,合租的,承受力很差的

引用阿飞的发言:

攻击者的目的并不是为了利益,或者单纯就是觉得好玩。

没想明白这有啥好玩的,攻击者应该是个极度阴暗的人

Hacker们能干点正事不?

引用Fu的发言:

Hacker们能干点正事不?

这种只能叫做cracker(骇客)

看来黑客们是想通过老师您来提高大家的服务器防范意识啊,可能并不是出于恶意。

引用阿飞的发言:

攻击者的目的并不是为了利益,或者单纯就是觉得好玩。

这种攻击级别的人,肯定不是不是因为好玩了,因为这种攻击是要钱的

明显是做培训的,之前已经点过几个,还有几个针对老师的教材蹭流量的几个

我觉得,老师啊,你是明人不做暗事,但对方流氓你也别客气

谁和你过不去的

你也别和他们讨论个是非,就是告诉我们,这个培训是流氓

就好

还是老老实实换cloudflare了

真应该把这群害群之马给就出来,暴揍

真心感谢无私的分享技术

阮博士是得罪的什么人了吧?不会是您广告位的竞争对手干吧?

一直跟踪您的博客,一晃已经5,6年了,最初从您翻译的《黑客与画家》认识了您,时间真快啊!

这是第一次给您留言,您再次被攻击,然后又把防御方法和被攻击的心得写出来而且不畏黑客,这使我特别的感动!
更使得我更加敬重您,您让我看到了一颗清澈、纯洁、无私、无畏的心!非常想认识您,我在大连,如果有空您来这边开会或旅行的话,提别想请您吃饭!

最后想对攻击您的黑客说两句,“差不多行了,闹着玩也有个底线!”

cc其实不可怕,高防算法都可防御,主要是误杀率的问题
cdn防ddos有个问题,共有资源没有打的必要,自缓存资源需要自己购买,也有ddos的危险,而且cdn按量付费,恐怕会有问题
至于源服务器的事,类似阿里云之类都有内网保护,直接两台一台外网,一台内网
或者外网服务器和源服务器再加一层 代理,haproxy xinetd之类转发,肯定不会暴露ip
ddos防到底就是暴力,没啥大办法。你可以知道我遭受了什么。。。。

要不要使用一下 zeronet 看看。
GitHub:https://github.com/HelloZeroNet/ZeroNet/

你关了后门,他从窗口跳起来。感觉像看恐怖片,哈哈。

遭攻击说明这个blog很受欢迎嘛,没关系,这些点滴对读者来说都是很好的教科书,坚持住,挺你!

阿里员工最终被腾讯施以援手,?

发起cc攻击,是烧钱的,还有人闲置蛋疼啊。

支持阮老师!
加油

引用elvis的发言:


不过把ip换成国外的, 是否影响备案呢?

国外不用备案

在线网络攻防战

他26号再攻击你的时候,你是抗住了还是没抗住?

我就说昨天怎么看不了网站了。 老师加油,我们支持你!

引用AppleLi的发言:

看来黑客们是想通过老师您来提高大家的服务器防范意识啊,可能并不是出于恶意。

先查下什么是"黑客"

前两天又看不了了,今天又好了

引用subfire的发言:

先查下什么是"黑客"

调侃一下,何必认真

这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。

-------------------------------------

这招 "祸水东引" 用的好,不愧是老湿机,佩服佩服!

人怕出名猪怕壮,阮老师的能力已经吸引很多黑客了

最后一句话有点儿心塞????

看了你的文章,受益颇多,谢谢分享.
支持你,加油!

受教了~学到了不少

很喜欢你的博客,这篇更是难得,“黑客”也是很逗,是在验证你的博客内容么、、、

引用Krist Pan的发言:

这种只能叫做cracker(骇客)

emmmm,cracker应该是搞逆向这块的,而且那种ddos损人不利己的称不上hacker....

引用稻草人的发言:

没想明白这有啥好玩的,攻击者应该是个极度阴暗的人

也许是攻击成本太低了

树大招风

难怪前几天 发现网站登录不上去了,在微信公众号上看的每周分享

引用Krist Pan的发言:

这种只能叫做cracker(骇客)


不能叫cracker,只能叫fucker

正是别人的攻击,使得自己变得更强!

网站安全的DEMO 呵呵 学习啦

人怕出名猪怕壮,阮老师越打越强,哈哈哈

360网站卫士感觉挺好的,免费还支持ssl。自己买了个学生机瞎玩,应该也能防攻击吧

最可怕的是 - -
攻击你的不是hacker而是云服务商的人(为了赚个流量钱也是拼。。。)
这就引人深思了

看来最后还是得花钱啊

应该是 “cloudflare 提供免费的CDN服务”。而不是说"cloudflare是一个免费的CDN服务"

不用阿里云的你用腾讯的,阿里好伤心

学习下。我也有个人博客,不过没这等待遇啦。。。

定义nginx的访问规则,异常访问(1m30次等规则)加入异常IP日志列表
定时处理异常IP日志列表,ip高频出现到一定次数加入防火墙黑名单,防火墙默认规则开启就行

"最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。"

这个比喻可能不太恰当。客户端(食客)请求进入服务器(餐厅)的唯一通道就是前门(暴露的端口,比如80),DDOS攻击往往是伪装成合法的请求。攻击是在大量的恶意请求(假装食客的流氓)请求服务器响应(进店吃饭),导致服务器无法为正常的请求(真的食客)提供服务。

引用S的发言:

定义nginx的访问规则,异常访问(1m30次等规则)加入异常IP日志列表
定时处理异常IP日志列表,ip高频出现到一定次数加入防火墙黑名单,防火墙默认规则开启就行

兄弟你看的不认真呀, 作者有提到这个,“Web 服务器的拦截非常消耗性能,尤其是 Apache。稍微大一点的攻击,这种方法就没用了。”

DDOS攻击,治标不治本。只能短暂瘫痪对方网站,向阮老师这样的博客,没有多大瘫痪的价值。真不知道他们怎么想的,可能是想拿老阮的网站来做DDOS教学演示吧。

DDOS攻击,治标不治本。只能短暂瘫痪对方网站,向阮老师这样的博客,没有多大瘫痪的价值。真不知道他们怎么想的,可能是想拿老阮的网站来做DDOS教学演示吧。

引用Bosn的发言:

阿里云防DDOS有成熟产品可以直接拿来用滴

https://help.aliyun.com/document_detail/68482.html?spm=5176.10695662.1996646101.searchclickresult.514e707eNoNn14

你怕不是在逗吧?
https://help.aliyun.com/document_detail/63646.html?spm=a2c4g.11186623.2.5.bNCDSA#h2-u8BA1u8D39u65B9u5F0F1
看看价格??
上个cf 200刀套餐就够了,漏源ip是运维配置的问题

我也遇到过网络流氓,要在网站上挂病毒(说是游戏广告),不给挂就DDOS你,我用WebServer 黑名单来档, 撑了几天终于对方放弃了.

就算上了CDN, 也保护不了真实的ip啊, 终归有一些请求是没办法走CDN的, 比如ajax之类的.

林子大了,总有人看你不爽

忽然发现Twitter上有关注你

感觉有了这次攻击才能看到阮大大分享这次的内容,(*^▽^*),感谢阮大大的分享,感觉这是一个宝贵的经验

就您的博客来看的话,大量是静态的资源,可以不用服务器吧,直接放cdn上,后台博客管理可以设置ip白名单之类的,来过滤。最后最有可能被攻击的就是留言系统了,不过这不影响网站的主要访问。留言系统可以做个简单的ddos防御,分布式DDOS攻击代价是很大的,留言系统可以随便攻击,只要对方舍得烧钱。您可以把网站换成https,感觉要好看一点。

我们提供后端技术产品的,几乎每个月都来次攻击。已经习惯了。最终就是成本问题,购买国内几家大型企业的高防IP,多买些流量,基本没问题。就看你愿意付多少成本。

如果门口流量只有10MB,同时进入100MB流量, 自己服务器技术上怎么设置都没用,成本

哈哈 木秀于林呀

引用Mike的发言:

最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次左右。
---这个压力才多大呀?还是轮流同时也就4000qps呀,写错了吧?

我记得单机nginx就能10万qps的,qps不太值钱
如果是tps就吊炸天了。

这种可以通过服务器上配置最大请求数来防止吧?
打个比方说:Windows 的IIS服务器 上 可以针对网站限制某个IP地址毫秒内的最大请求数,如果超过设定的上限,将直接返回403.那么一般来说,不需要多高的服务器性能就可以防止类似 20多个IP地址每秒200个请求的攻击。

也是那个时候您遭受到ddos攻击我才关注了一下网站的攻防,前几天面试的时候就被问到了,感谢,又让我学到了不少知识。。。
希望您能写出更多好的博客。

我觉得这个人应该是用你测试

让你被动提升能力 我觉得这种文章的实用性和实战性都很强 希望多来点儿(坏笑)

我防止野蛮攻击的方法就是层层防御,在无其它前端服务器(CDN 等)的情况下,利用 Nginx 进行 IP 请求限制,开启 PHP 的缓存(将输出的 HTML 网页进行缓存),在 MariaDB 进行数据库查询缓存。当检测到攻击时,系统会进入紧急状态,在这种情况下,网站将会降低服务质量,例如禁止访问搜索页面,禁止注册新用户,甚至禁止直行任何 Post 请求。我不是真正搞技术的,并且一直使用 WordPress,因此防范攻击的手法非常拙劣。用上了 CF 之后,那倒是可以抵挡非智能的攻击,只要启用 reCAPTCHA,那些不会解决 reCAPTCHA 的攻击机就变得毫无作用了。哎,防止攻击这事儿也只能是魔高一尺道高一丈。

明显是政府行为

我司最近被攻击的不行不行的,最高峰800G流量

我觉得攻击者肯定留过言

引用炸天邦五五开的发言:

我司最近被攻击的不行不行的,最高峰800G流量

这是做的什么业务,会遭受这么大的攻击

看来Ddos攻击成本不高,否则不至于做到这种程度。

1200g攻击,三天三夜,没办法了,当初没装安全机(哭)

一直在关注您的博客,内容堪比百度百科!没事来看看就能收获好多东西,阮老师加油!

引用多多洛的发言:

百度的云加速,360的云加速(支持https),都有cdn,可防护,还是免费的,大神有木有了解过呢。能防住多大DDOS就不知道了,因为我还没遇到过这种高待遇,(●—●)。

我记得以前做的网站有次一晚上被cc打了4万多次,就4个连号ip,都拦截了,也是小站

现在DDOS攻击成本很低的,最近就被别人打了,还特意把账单发给我,30GBPS月票加上新人优惠只需要7块钱…

你知名度高,作为靶机练手真合适

引用limccn的发言:

真实的DDOS场景,应该类似攻击餐馆门口的前台排号机(Gateway),很少真的过去消费。300个人混在30个真实客户里面,然后取完号(Token)就走,过了号继续取号,前台每次都必须叫三遍这个号才能过号,结果就是想消费的客户一直在等待,前台一直忙着叫号和过号。

你这是限流

Cloudflare 有专门的 IP 地址范围,你可以在你的云服务商配置防火墙,只允许来自 Cloudflare 的 IP.

最近网站被cc攻击,50gb,ip主要是印尼,东南亚国家的,同行恶意竞争,不耻。自己不能考实力赚钱,就想搞别的的,目前业内几乎没听说过这种同行,没有职业道德。

碰到这种情况,只能说明攻击方是花了钱实施的攻击,所以面对这种攻击我的态度就是关闭服务器,有钱人的世界观咱不懂,但让其花钱的道理还是懂的,有钱就花着呗!我一个个人博客受到这么高的待遇也算是很有逼格了!有钱攻击一天,我就关闭服务器一天,两天就关闭两天,我就不信我碰上马云或者比尔盖茨这种富豪了!

有可能是国外的一些coder发现了这个宝藏博客,不希望国人能够学习成长所以攻击的吧,毕竟最近中国和美国打得火热,合理怀疑有人恶意攻击。

不会是有人在测试吧

假如配合 service workers + 纯静态数据(文件),不部署服务器,是否还要面临ddos呢?简单点cf 的worker,复杂点纯静态html,自己配service workers路由,做虚拟的api接口。所有访问走虚拟路径(location.search)? + 入口,强制https。虚拟路由之外没有标记路径的默认返回403。这样的话,非常规浏览器或浏览器private模式不允许service workers运行,就成了没用的一个静态页面,例如curl或其他手段去访问,返回只是静态页面,没有任何动态内容,也没有接口。假如加载站外的话,可以绑定domain和path/search的形式,只能通过固定接口才能返回内容,又或者用类似google的tag manager system, 用event push这样如何?

攻击者是你粉丝,想看看你的反应

fail2ban有效吗?
我运行了十分钟,按我的配置已经关了4xx个IP了……这啥时候是个头啊

虽然是很早的文章了,但还是发表一下看法。
1. 其实相比于被攻击,我更不想网页内容被抓取・扫描,被扫描是帮别人数钱,被抓取是危害自己利益和安全,都是百害无一利。被抓取还增加被审查风险。(这几个说法也被谷歌 Gemini 肯定)
2. 楼上说外地机房「不用」备案是错的,其实是「无法」备案,因为内地之间访问不经过旁路干扰所以内地其实不需要备案,就像在自己家开个服务器(这几年卖得很火)。反正咱们大伙不用低声下气也能把钱赚了,没必要搞那么麻烦的「绿色通道」,反正审查带来的访问影响是双向的。
3. 无聊的访问路径扫描资源破解,也就是国内小孩儿干的事情。就像当年密码填个恒等式一样。
4. 频繁被扫描(审查)也很可能是你的友商(你写在签名里的)透露的(被别人抓去了);也可能是竞争对手(或上一任域名主)恶意提交至扫描企业的信息,破瓦破摔。

因为这几年开自己网站以来,慢慢就在玩中学了很多。我从开始就一直用的是 zyro,最早一批用户五块钱人民币一个月,去年合并到 Hostinger 之前我续了二十年这个价钱,合并之后也才不到六块。
我解析用的是 Cloudflare,免费的也可以设置 WAF。细节不能说,因为每个站情况不一样,我现在思路就是:通过 ASN, UA, http 版本、国家、请求路径(cf 里面选项很多),单一或组合判断。举个例子:可以放行你喜欢搜索引擎,第一层 asn+fallthrough 过滤,第二三层放行搜索引擎或者 moeicp/discord 的 bot,第四五层过滤扫描和不喜欢的搜索引擎(含客户端如 apache, python, Lark, etc),如果用 UA wildcard 还可以拦截品牌用户(非目标客户),比如 "*huawei*" 这样的。
还可以用一批请求的资源来判断是「食客」还是「光点餐」的,大部分都是点完餐就跑(GET)或者只要一份菜单(HEAD),还有极少数的伪结账(POST),比如编辑器网站的,访客请求主域名一同请求编辑器的 js 资源,极大概率就是肉人;同样看完你的主页面隔几分钟再请求 about 页面或是访问主菜单其他项目的也可以判定是肉人。还有 UA 里面 "537.36" 也是一个敏感字段。当然我只是提供一个思路,所谓的智能机也就是一系列简单规则的组成。

搜索引擎放行一定要 UA+ASN+版本+地区,除了巨硬其他都是专用 ASN 风险较小,这个人家学不来的。
所以我根本没有 wp/git 还有什么他们还拼命抓,笑死了。我现在目标就是无感过滤,规则判断安全的目标直接跳过安全等级,机器请求可以做到直接拦截。差不多已经落实防御两个月,每天都是自己看日志归纳,现在第一层过滤 ASN 每天很轻松了。我现在网站一个星期还没有达到一个巴掌的人肉访客。

字数有点多,还请笑纳。还有下半段。

顶级威胁就是新加坡、香港、台湾(因为我新站前任有台湾的),因为国内的攻击者大部分的攻击流量,都是租用世界各国抹瑞希机房的服务器搞的,还伴随着南通机房(迅雷主要服务器所在)的电邮伪造请求。可能分业务吧,我这保守估计三分二攻击都是国人搞的。反正我是绝对屏蔽新加坡,那么小个地贡献不了多少交易额。
特别是伪新域名特别容易被抓取・扫描・攻击,比如我新上的 pasci/org(查询从 01 年开始转手四五个人),主要罪魁祸首还是大陆,估计企业占一半。

扫描路径,最臭名昭著(嚣张)的就是 Xpense/PaloAlto,建议完全拦截。抓取不存在资源,最典型就是字节跳动,字节扫描资源访问特征就是请求 "/{ab}/{cd}/{ab}*-{cd}*-**.**.pdf" 路径,还会盗用巨硬的搜索引擎 ua,还会用电信 4134 等各国民用 isp 网路来扫描,等等。因为巨硬会把自己 8075 asn 租给别人使用,所以非常糟糕,最好就是在巨硬 webmaster 上传网站地图、只放行主域名的路径给巨硬抓,防止被认为空站。这几天亚马逊客户 asn 被我拦截之后,他们就改用光环新网 55960 的机来攻击。
上次还被 cnnic 的网络扫描过也不知道是干啥反正。一律屏蔽哈哈。
我现在也无所谓多留一些网站署名在别人那。迅雷等吸血服务器的拦截列表我也发在电驴论坛上,适合个人电脑下载 torrent 用,当然做下载服务的也可以借鉴。
(这么便宜的服务器也要做到这个份上,而且我都还没开业,网页也没做完只是个残废,挺搞笑的。)

我要发表看法

«-必填

«-必填,不公开

«-我信任你,不会填写广告链接