V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
caijunyi
V2EX  ›  程序员

网站 443 端口被攻击导致带宽跑满

  •  
  •   caijunyi · 2019-09-15 18:19:25 +08:00 · 6025 次点击
    这是一个创建于 1926 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前天凌晨 1 点钟,我准备睡觉,突然收到短信,网站宕机,还以为是网络波动没理会,不到 3 分钟,陆陆续续收到宕机 5 分钟 10 分钟的短信提示,我知道网站出问题了。 我就上 ssh,死活上不上去,然后去华为云,看到带宽爆满,然后我把安全组端口全部关闭,只开放 ssh 端口,马上正常了 上去 ssh 打开 iftop 慢慢测试端口 发现是 443 端口攻击

    刚开始还以为是程序问题,重置系统 开放端口 还是跑满 这应该是针对 IP 的把!

    这种攻击到底是咋回事啊?我源站 IP 是不是已经被知道了,是不是除了换 IP 就没办法了

    好懵逼啊,这几天 时不时攻击一下 持续 2 小时 然后就不攻击了。我索性就开 443 端口让他攻击,可问题是 华为那服务器搞什么积分,一攻击,积分就没有了,我害怕积分掉完了 扣费!

    这是针对我的还是 随机性的????

    上一次暑假是针对我网站 https://www.v2ex.com/t/592860#reply120

    这次好像也是变相让网站宕机 然后掉权重 掉排名 关键是 网站没多少流量 每天也就 200IP 也不知道惹谁了

    第 1 条附言  ·  2019-09-15 21:02:32 +08:00
    https://oss.wibili.com/?dl=533a924389137b9607bfa83eab9edf5d



    攻击日志 我错了,还是通过域名发起的攻击 但是楼下说把海外访问用户通过 cf 解析,国内解析到华为 这个不知道咋弄,能不能给我讲一下,用 cf 要改 dns 然后解析线路阿里云可以设置,这就矛盾了啊,,,啊啊啊啊我真不懂了
    第 2 条附言  ·  2019-09-15 23:55:11 +08:00
    重置系统了,空空如也,开启 443 端口 带宽依然跑满。。。。。看来这个 IP 废了!。。。。。
    第 3 条附言  ·  2019-09-16 10:19:55 +08:00
    昨天晚上我换了个弹性 IP 后,可以正常访问了,然后中午回去我再把这些 IP 加入黑名单就 OK 了吧!非常感谢楼下的热心人帮助,给了我大量的解决方案,v2 挺有用的哈!非常感谢!
    29 条回复    2019-09-16 10:21:21 +08:00
    ysc3839
        1
    ysc3839  
       2019-09-15 19:14:19 +08:00 via Android   ❤️ 1
    题外话:所以我喜欢使用免费的服务,买独立服务器的话不仅要自己配置维护,还得担心被人攻击产生大量费用。
    shdcn
        2
    shdcn  
       2019-09-15 19:28:55 +08:00
    看你上次不是切到了 CF ?切过去还是这样吗?华为云积分是什么啊 积分免费 CDN 嘛(似乎有我不知道的羊毛)
    xmumiffy
        3
    xmumiffy  
       2019-09-15 19:50:32 +08:00 via Android
    @shdcn 非独享核心,处理器使用率限制
    wtks1
        4
    wtks1  
       2019-09-15 20:05:40 +08:00 via Android
    防火墙屏蔽攻击 IP 不行吗
    shdcn
        5
    shdcn  
       2019-09-15 20:27:02 +08:00
    @xmumiffy 啊... 这样子
    btw lz 如果你还在用 cf 的话,cf 有 ipset,可以加进去仅限 cf 访问 443
    skyeycirno
        6
    skyeycirno  
       2019-09-15 20:27:05 +08:00
    搞个 CNAME 接入 CF,海外解析到 CF,国内解析到华为云,完事
    opengps
        7
    opengps  
       2019-09-15 20:29:44 +08:00 via Android
    看日志,有什么特征防御什么特征,固定 ip 用安全组或者防火墙拒绝
    突发性能实例不要硬抗浪费性能
    justin2018
        8
    justin2018  
       2019-09-15 20:29:52 +08:00
    CF
    star7th
        9
    star7th  
       2019-09-15 20:47:13 +08:00
    配置一下 nginx 单 IP 限流不就好了吗?一般无利益可图的话别人没必要花钱买那么多的 ip 来搞你,所以你限制单 IP 访问量应该可以了吧
    caijunyi
        10
    caijunyi  
    OP
       2019-09-15 20:49:29 +08:00
    @justin2018 不管网站的事情,我重装系统 空空如也 443
    一开,就挨打
    caijunyi
        11
    caijunyi  
    OP
       2019-09-15 20:50:18 +08:00
    @shdcn 是的 感觉是攻击源站 IP
    Enya
        12
    Enya  
       2019-09-15 20:54:03 +08:00 via iPhone
    6# 的方法是正解
    caijunyi
        13
    caijunyi  
    OP
       2019-09-15 20:54:22 +08:00
    @opengps 大量 IP 通过 443 向我服务器发包,导致网络拥堵,卡死
    caijunyi
        14
    caijunyi  
    OP
       2019-09-15 20:55:05 +08:00
    @Enya 和域名没有关系,貌似直接搞我源站 IP
    vjnjc
        15
    vjnjc  
       2019-09-15 21:24:12 +08:00
    楼主你这个日志看不出 443 端口啊,看起来就是很正常的网站访问,google 的爬虫?

    肉眼可见是重复的 ip,去重后每分钟有多少个 ip 访问?
    vjnjc
        16
    vjnjc  
       2019-09-15 21:28:07 +08:00
    不哈意思,刚刚我说了很正常的访问说错了,这个频率不太正常。它就固定几个 ip 频繁访问,很容易防的,装个 fail2ban,设个规则,比如 5 秒钟内访问主页 10 次的,就 ban 一天之类。。。
    aB47qeql
        17
    aB47qeql  
       2019-09-15 21:42:00 +08:00
    多个 IP 通过不同的 Useragent 访问你源站,建议写个脚本直接丢进 iptables block
    iceheart
        18
    iceheart  
       2019-09-15 21:55:18 +08:00 via Android
    全是 301 302,确定不是程序问题?
    caijunyi
        19
    caijunyi  
    OP
       2019-09-15 22:36:04 +08:00
    @iceheart 看到了日志,源站 IP 泄露了
    caijunyi
        20
    caijunyi  
    OP
       2019-09-15 22:36:19 +08:00
    那我就屏蔽 IP 了
    caijunyi
        21
    caijunyi  
    OP
       2019-09-15 22:36:52 +08:00
    @vjnjc 里面有我源站 IP。。。。。。日志
    alphatoad
        22
    alphatoad  
       2019-09-16 04:38:35 +08:00
    fail2ban
    taogen
        23
    taogen  
       2019-09-16 07:58:47 +08:00 via Android
    @skyeycirno #6 没看明白。可以提供搜索关键词吗
    CallMeReznov
        24
    CallMeReznov  
       2019-09-16 09:09:15 +08:00
    NGINX 安装循环封禁插件,来一个 BAN 一个,看他能买多少.
    caijunyi
        25
    caijunyi  
    OP
       2019-09-16 09:44:24 +08:00 via Android
    @vjnjc 这个 fail2ban 不错,我昨天晚上换了个 IP,已经正常了,但是感觉还是有一些异常流量,我下课回去用这个工具试一下,非常感谢你的帮助!
    fordowhile
        26
    fordowhile  
       2019-09-16 09:46:25 +08:00
    lua 写个策略
    fenglangjuxu
        27
    fenglangjuxu  
       2019-09-16 09:47:25 +08:00
    根据日志分析 ip 把前面的 ip 给封了 用 nginx 也可以 用防火墙也可以 用安全策略也可以
    ```
    36.111.140.6 2416
    144.76.199.41 1293
    210.26.64.44 371
    222.175.171.6 176
    58.211.188.146 111
    39.137.107.98 107
    116.48.142.127 96
    ```
    lideshun123
        28
    lideshun123  
       2019-09-16 10:14:29 +08:00
    @justin2018 cf 是什么
    caijunyi
        29
    caijunyi  
    OP
       2019-09-16 10:21:21 +08:00 via Android
    @lideshun123 国外的一个 cdn 提供商!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1086 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:59 · PVG 06:59 · LAX 14:59 · JFK 17:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.