这是一个创建于 1880 天前的主题,其中的信息可能已经有所发展或是发生改变。
前天凌晨 1 点钟,我准备睡觉,突然收到短信,网站宕机,还以为是网络波动没理会,不到 3 分钟,陆陆续续收到宕机 5 分钟 10 分钟的短信提示,我知道网站出问题了。 我就上 ssh,死活上不上去,然后去华为云,看到带宽爆满,然后我把安全组端口全部关闭,只开放 ssh 端口,马上正常了 上去 ssh 打开 iftop 慢慢测试端口 发现是 443 端口攻击
刚开始还以为是程序问题,重置系统 开放端口 还是跑满 这应该是针对 IP 的把!
这种攻击到底是咋回事啊?我源站 IP 是不是已经被知道了,是不是除了换 IP 就没办法了
好懵逼啊,这几天 时不时攻击一下 持续 2 小时 然后就不攻击了。我索性就开 443 端口让他攻击,可问题是 华为那服务器搞什么积分,一攻击,积分就没有了,我害怕积分掉完了 扣费!
这是针对我的还是 随机性的????
上一次暑假是针对我网站 https://www.v2ex.com/t/592860#reply120
这次好像也是变相让网站宕机 然后掉权重 掉排名 关键是 网站没多少流量 每天也就 200IP 也不知道惹谁了
第 1 条附言 · 2019-09-15 21:02:32 +08:00
https://oss.wibili.com/?dl=533a924389137b9607bfa83eab9edf5d
攻击日志 我错了,还是通过域名发起的攻击 但是楼下说把海外访问用户通过 cf 解析,国内解析到华为 这个不知道咋弄,能不能给我讲一下,用 cf 要改 dns 然后解析线路阿里云可以设置,这就矛盾了啊,,,啊啊啊啊我真不懂了
攻击日志 我错了,还是通过域名发起的攻击 但是楼下说把海外访问用户通过 cf 解析,国内解析到华为 这个不知道咋弄,能不能给我讲一下,用 cf 要改 dns 然后解析线路阿里云可以设置,这就矛盾了啊,,,啊啊啊啊我真不懂了
第 2 条附言 · 2019-09-15 23:55:11 +08:00
重置系统了,空空如也,开启 443 端口 带宽依然跑满。。。。。看来这个 IP 废了!。。。。。
第 3 条附言 · 2019-09-16 10:19:55 +08:00
昨天晚上我换了个弹性 IP 后,可以正常访问了,然后中午回去我再把这些 IP 加入黑名单就 OK 了吧!非常感谢楼下的热心人帮助,给了我大量的解决方案,v2 挺有用的哈!非常感谢!
 |
1
ysc3839 2019-09-15 19:14:19 +08:00 via Android  1
题外话:所以我喜欢使用免费的服务,买独立服务器的话不仅要自己配置维护,还得担心被人攻击产生大量费用。
|
 |
2
shdcn 2019-09-15 19:28:55 +08:00
看你上次不是切到了 CF ?切过去还是这样吗?华为云积分是什么啊 积分免费 CDN 嘛(似乎有我不知道的羊毛)
|
 |
4
wtks1 2019-09-15 20:05:40 +08:00 via Android
防火墙屏蔽攻击 IP 不行吗
|
|
5
shdcn 2019-09-15 20:27:02 +08:00
@xmumiffy 啊... 这样子
btw lz 如果你还在用 cf 的话,cf 有 ipset,可以加进去仅限 cf 访问 443 |
 |
6
skyeycirno 2019-09-15 20:27:05 +08:00
搞个 CNAME 接入 CF,海外解析到 CF,国内解析到华为云,完事
|
 |
7
opengps 2019-09-15 20:29:44 +08:00 via Android
看日志,有什么特征防御什么特征,固定 ip 用安全组或者防火墙拒绝
突发性能实例不要硬抗浪费性能 |
 |
8
justin2018 2019-09-15 20:29:52 +08:00
CF
|
 |
9
star7th 2019-09-15 20:47:13 +08:00
配置一下 nginx 单 IP 限流不就好了吗?一般无利益可图的话别人没必要花钱买那么多的 ip 来搞你,所以你限制单 IP 访问量应该可以了吧
|
 |
10
caijunyi OP @justin2018 不管网站的事情,我重装系统 空空如也 443
一开,就挨打 |
 |
12
Enya 2019-09-15 20:54:03 +08:00 via iPhone
6# 的方法是正解
|
 |
15
vjnjc 2019-09-15 21:24:12 +08:00
楼主你这个日志看不出 443 端口啊,看起来就是很正常的网站访问,google 的爬虫?
肉眼可见是重复的 ip,去重后每分钟有多少个 ip 访问? |
|
16
vjnjc 2019-09-15 21:28:07 +08:00
不哈意思,刚刚我说了很正常的访问说错了,这个频率不太正常。它就固定几个 ip 频繁访问,很容易防的,装个 fail2ban,设个规则,比如 5 秒钟内访问主页 10 次的,就 ban 一天之类。。。
|
 |
17
aB47qeql 2019-09-15 21:42:00 +08:00
多个 IP 通过不同的 Useragent 访问你源站,建议写个脚本直接丢进 iptables block
|
 |
18
iceheart 2019-09-15 21:55:18 +08:00 via Android
全是 301 302,确定不是程序问题?
|
|
20
caijunyi OP 那我就屏蔽 IP 了
|
 |
22
alphatoad 2019-09-16 04:38:35 +08:00
fail2ban
|
 |
23
taogen 2019-09-16 07:58:47 +08:00 via Android
@skyeycirno #6 没看明白。可以提供搜索关键词吗
|
 |
24
CallMeReznov 2019-09-16 09:09:15 +08:00
NGINX 安装循环封禁插件,来一个 BAN 一个,看他能买多少.
|
|
25
caijunyi OP @vjnjc 这个 fail2ban 不错,我昨天晚上换了个 IP,已经正常了,但是感觉还是有一些异常流量,我下课回去用这个工具试一下,非常感谢你的帮助!
|
 |
26
fordowhile 2019-09-16 09:46:25 +08:00
lua 写个策略
|
 |
27
fenglangjuxu 2019-09-16 09:47:25 +08:00
根据日志分析 ip 把前面的 ip 给封了 用 nginx 也可以 用防火墙也可以 用安全策略也可以
``` 36.111.140.6 2416 144.76.199.41 1293 210.26.64.44 371 222.175.171.6 176 58.211.188.146 111 39.137.107.98 107 116.48.142.127 96 ``` |
 |
28
lideshun123 2019-09-16 10:14:29 +08:00
@justin2018 cf 是什么
|
|
29
caijunyi OP @lideshun123 国外的一个 cdn 提供商!
|
Select Language