V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
asanelder
V2EX  ›  问与答

十分火急!在线等!服务器被攻击了。

  •  
  •   asanelder · 2020-10-05 16:54:08 +08:00 · 4013 次点击
    这是一个创建于 1547 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景

    服务并不是 web 服务,所以没使用 CDN 。服务器是有状态的。

    现在看监控,网络带宽在一段时间内异常,居高不下。

    俺的问题

    这种情况怎么办呢?俺想了一些思路

    1 隐藏 IP:如果可以隐藏真实 IP,那么是不是要在再前置一个什么东西之类的。。。但俺这个服务器是有状态的。。。

    2 如果不能隐藏 IP,在对方知道 IP 的情况下,怎么屏蔽掉这一部分异常的流量?

    俺这方面没经验,求铁子们指导!

    21 条回复    2020-10-06 08:45:36 +08:00
    murmur
        1
    murmur  
       2020-10-05 16:58:56 +08:00 via Android
    被 d 了,换机房跑路,高防你得选一个,连续被 d 会被中止服务的,隐藏 ip 走流量清洗能抗的也有限
    SJ2050cn
        2
    SJ2050cn  
       2020-10-05 16:58:56 +08:00
    ip 已经暴露,没啥方法,关机吧
    asanelder
        3
    asanelder  
    OP
       2020-10-05 17:07:27 +08:00
    @murmur #1
    @SJ2050cn #2

    难道。。。就没办法了么,铁子们
    baiduyixia
        4
    baiduyixia  
       2020-10-05 17:15:39 +08:00
    @asanelder 嗯嗯,关机
    Illusionary
        5
    Illusionary  
       2020-10-05 17:52:43 +08:00   ❤️ 6
    开 ssh 让大伙上去看看
    QBugHunter
        6
    QBugHunter  
       2020-10-05 18:05:33 +08:00 via Android
    @Illusionary
    谁敢。。。。。
    ericwood067
        7
    ericwood067  
       2020-10-05 18:05:41 +08:00
    看看异常的 IP 范围是不是集中的,如果是就暂时先屏蔽掉,如果不是就只能上高防了
    asanelder
        8
    asanelder  
    OP
       2020-10-05 18:37:10 +08:00
    @ericwood067 #7 阿里一月 2w 多。。。
    @Illusionary #5 吓尿了
    kangsheng9527
        9
    kangsheng9527  
       2020-10-05 18:39:35 +08:00   ❤️ 1
    1 、可以隐藏源服务器 ip,例如外加一台抗 d 的服务器,把你服务指向抗 d 服务器然后抗 d 服务器清洗后把正常流量转回到你源服务器处理

    2 、可以隐藏,也可以屏蔽这些异常流量

    我可以做到。最廉价的解决方案就是买一台抗 d 的 vps 找个懂运维或编程的人即可解决,否则只能买人家的高防。
    mokeyjay
        10
    mokeyjay  
       2020-10-05 18:41:36 +08:00 via Android
    要么加钱,要么关机,没有什么好办法的
    zoharSoul
        11
    zoharSoul  
       2020-10-05 18:42:20 +08:00
    切高防 ip
    阿里云 /腾讯云之类的都有的
    asanelder
        12
    asanelder  
    OP
       2020-10-05 18:43:13 +08:00
    @kangsheng9527 #9 感谢提供方案
    kangsheng9527
        13
    kangsheng9527  
       2020-10-05 18:45:51 +08:00
    @asanelder 我能看出这是一单生意,需要服务联系我:qq3080664 零零
    yogogo
        14
    yogogo  
       2020-10-05 19:47:04 +08:00   ❤️ 1
    用的是弹性 ip 吗,是的话,把 ip 绑定其他服务器呗
    deorth
        15
    deorth  
       2020-10-05 22:52:52 +08:00
    断网行动
    PhyllisLin
        16
    PhyllisLin  
       2020-10-05 23:30:54 +08:00 via Android
    解析到 zf 网站
    asanelder
        17
    asanelder  
    OP
       2020-10-05 23:39:14 +08:00
    @yogogo #14 那攻击者还是攻击这个 ip 啊,换了服务器也还是被攻击呢
    czkwg8
        18
    czkwg8  
       2020-10-06 02:52:53 +08:00
    换 ip 上 cdn
    临时买台 ovh 顶上
    yashika
        19
    yashika  
       2020-10-06 03:30:33 +08:00   ❤️ 3
    我有个 tcp server 就是有状态的, 攻击端和业务端同 IP 且不可以更改. 遇到 SYN 洪水攻击和你一样带宽居高不下. 因为服务器是我写的, listen 握手的时候做了个超时判断, 超过 10 秒的一定是攻击端, 所以直接走 iptables 封这些 IP. 瞬间就好了一大半. 大约 2 分钟后就封的差不多了.后来看了下 iptables 封了 500 多个 IP...其实防火墙也是这么来的只是它走协议栈可以直接检测出异常行为,所以后来数次遇到攻击(哈哈)我直接让机房处理了(毕竟不是天天在电脑面前).有一定效果但是不是万能的,识别 IP 封 IP 最有效. 那么如果服务端不是你写的, 你可以找下类似的东东, 可以临时切换下监听端口让捕获下异常的 ip list 拿到后手动封也一样.
    594duck
        20
    594duck  
       2020-10-06 03:39:19 +08:00
    知道创宇云防护前面挡一层就可以了。

    有第一次肯定会有第二,第三次。

    买一个保平安
    lengyihan
        21
    lengyihan  
       2020-10-06 08:45:36 +08:00 via Android
    只能硬抗。买高防吧。或者换 ip 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1297 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:40 · PVG 01:40 · LAX 09:40 · JFK 12:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.