V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
seepiner
V2EX  ›  服务器

大佬们请教一下,如何防止服务器被攻击,有没有低成本的办法?

  •  
  •   seepiner · 2022-06-20 00:48:33 +08:00 · 1988 次点击
    这是一个创建于 886 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前买了腾讯云服务器跑一个应用,刚才发现上不去,登录一看发现被 ddos 攻击了,服务器被封了 24 小时(被攻击腾讯云竟然封我服务器省他成本...,看了一下高防一年几万实在耗不起,虽然 cloudflare 免费且好用但是国内被墙的厉害,请教一下有没有其他什么办法可以解决这个问题

    5 条回复    2023-07-14 11:20:35 +08:00
    seepiner
        1
    seepiner  
    OP
       2022-06-20 00:49:20 +08:00
    成本越低越好啊,跑的小应用压根不赚钱,不知道哪个丧心病狂的这也攻击我...
    bookbox
        2
    bookbox  
       2022-06-20 10:01:31 +08:00
    只能自己做好对应的防护了,限制可疑 ip 和隐藏源 ip ,我理解为不是封你的服务器节省成本,而是每个公有云厂商都是这样的吧,不制止的话,大流量持续攻击把他们平台甚至其他的使用者直接干废了吧
    i3x
        3
    i3x  
       2022-06-22 04:36:31 +08:00 via Android   ❤️ 1
    不知道怎么算低成本
    对移动宽带访问没那么高要求的话,可以找个带防护的传统机房的独立服务器。当然一样的理由,被攻击的面越广,平分到的清洗能力越弱。。所以有大量 vps 销售的机房肯定是脆皮。
    几百块钱一个月,电信单线的,或者北方开联通单线的。
    虽然仅仅是最便宜的独立服务器租用、托管附带所谓的 20g 30g 单机防护,但是如果这种防护能打穿,打在阿里如果要有几率能抗住(绝大多数还是直接打死),费用是 7.2 万一天。。。我有朋友就是这么做,我的机器白给他用嫌弃防护差,去开什么高防 ip ,这下好了,在我这没被打死,到阿里第一天扣款 7.2 万。。。。
    当然阿里好也是好,如果想要一个 ip 满足全国绝大多数宽带连接,我选阿里杭州可用区。不是每个地区的阿里云网络质量都一样的,南方北方还是腾讯的稳。。。

    普通 idc 机房的无视 udp 的段子,虽然防护也就几十,但是实际上 tcp 大流量长期保持成本不低,一下子就比你租金、托管费贵了。。。
    只要不是被超大流量攻击,Tbps 级别的,就不会被清退。有的机房网维勤快点,如果几个 G 的流量压了你一天两天,会让销售问你要不要换个 ip ,二道贩子就直接把你机器回收了。有的机房网维懒得很,我发现我一台机器上个月才重启就几个 t 下行了,让查了下流量,3Gbps+的 syn 压了我两个多月,滤后流量大概就是 10Mbps 左右。
    不知道谁那么闲。换个 ip 完事儿。。。

    还是这个机房,我发现我的跳板机经常卡一下卡一下。那是 ssh 都卡。网维也太懒了。我上了个百兆的 16 口家用路由器当带外管理的网络,不知道谁钱多了烧得慌。。。。一个北京阿里云的 ip ,持续 100Mbps 往我的 ip 发 udp 包。把 ip 配在服务器抓包,发现内容完全都是'7E',而且有 140Mbps+,毫无意义。。。让机房把这 ip 加黑,竟然过两天跟我说这规则不知道被谁删了。。。得,在我手里用了 3 年多的 ip 还是得换一个。。不然百兆口机器被单机就 dos 了。。。

    科普下:这是远端主动发起的流量,不需要本机防火墙接收,不需要本地开放端口。只要路由表项存在,哪怕这个 ip 根本没有配置在任何设备,流量都已经进到这个网段了。轻则超过当前设备端口服务不可用,重则导致整个网络下行满载整个网络不可用。。而云服务商在同等规模的带宽下承载了几十倍于传统 idc 业务的 ip 。。。而且受限于单价低自然每个 ip 明显就不能给太多防护了。。。

    假设你的业务需要全国开 300-500 个万兆口。。。那么即使你就跟百度一样拥有“T 级”防护了。百度本身也好,cf 国内版百度云加速或者原版 cf 来说,每个节点本身可能都是没有防护的就仅限于端口级别的防护,比如几个万兆口,但是难在需要把全部的节点都阻塞才能影响绝大多数用户。

    如果仅仅是大流量攻击,应用为 http/https 承载,那么免费、付费的 cdn 大致也都免疫......怕的是 CC ,或者叫 7 层攻击,撸流量的,会产生 cdn 天价账单。。。cf 还好,免费给防,回源的攻击比例很低,几年以前百度也是免费给防不限制流量,但是估计跟 cf 合作不够深入,没有任何防护,把我拿 win10 phpstudy 开的小破站都撸蓝屏了。如果让机房开抗 c 策略,百度回源就几个 ip ,估计一秒后云加速就显示回源失败了。。。现在不会了,现在免费版一个网站每天 10g 流量之后回源。大概就是有段时间用百度云加速建 apk 下载非常多之后。。。

    当然至于某宝上那些所谓的单机 800g 什么的?想都别想,能这么宣传的恐怕单机 800Mbps 防护都没,稍微碰一下就把 ip 封了。。。

    讲个笑话。当年某地电信 500Mbps 黑洞,而我开整柜业务托管独服。万兆到机柜。千兆交换机。。。我用迅雷下载了 centos 6 minimal ,黑洞 94 小时,客服说“攻击太大了,大网都波动了,电信不给解”。小心翼翼仍然经常黑洞。只能来硬的。交换机端口限速下行 100 (实际上交换机是配 out 方向,交换机角度是上行)实际上机房不缺带宽,测速是有的,但是不仅仅带宽要成本,防护设备成本也不便宜
    dann73580
        4
    dann73580  
       2022-07-16 15:21:05 +08:00 via iPhone
    不是非得放在国内的话,找个国外线路好点点高防可能会更好一点……
    yunfangyu7
        5
    yunfangyu7  
       2023-07-14 11:20:35 +08:00
    @i3x 大佬留个联系方式交流下,
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5437 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 06:04 · PVG 14:04 · LAX 22:04 · JFK 01:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.