想不到我这小破站居然有人攻击我,还不止一两个。不过随着运维技术的提升,被攻击的次数是越来越少了,上次被攻击还是一年前。下面讲一讲此次被攻击的全过程,以及站长应该做些什么。
攻击者信息
攻击目的:目的明确,就是为了恶心我,刷我CDN流量费用。
攻击工具:ApacheBench/2.3
攻击方式:多并发访问我CDN上的一张图片,就是下面这个妹子,可能他太喜欢这个妹子了,想用这个妹子把他硬盘填满。(该工具可以不保存下载的数据)
之所以说攻击者想填满他的硬盘是因为产生的ip数量很少,每次只有一个ip。
攻击日志
第一次攻击:2020年3月24日17点左右,此次攻击流量带宽较高,约100M带宽以上,共产生约18G流量费用,持续时间短。
第二次攻击:2020年3月25日19点左右,此次攻击带宽较低,持续时间约1小时,共产生约15G流量费用。
第三次攻击:2020年3月26日10点左右,此次攻击带宽较低,持续时间约1小时,共产生约14G流量费用。
防御处理
第一次防御:由于经过去年的CC事件,我将本站的CDN改成了带宽峰值50M,并设置了报警以及自动回源。所以2020年3月24日第一次被攻击时的流量,主要我设置的报警周期过长产生的。这次防御我没做什么,全是之前的规则自动的,并且胆大的再次开启CDN,我就赌他不会再回来攻击我,为此我还专门充了5块钱壮胆。
第二次防御:第二次我TM根本不知道被攻击了,看了日志才知道是2020年3月25日晚上,这人真狡猾,居然发现我的CDN策略,将请求带宽控制在50M以下,持续请求了1个多小时。作为重庆人我问候了他家上九代与下九代。
第三次防御:这次我也没发现,因为这个攻击者仍然使用细水漫流的方式刷我CDN流量,直到腾讯云的阶梯计费提醒我账户里的钱不够了。日了狗,近10块钱都没了?气得我下载了这三次攻击的所有日志,有用信息如下:
请求总次数:约74000次
攻击ip:107.155.51.71 107.155.51.102
设置CDN防御规则
第一件事就是把这整个ip段全部加入黑名单,在腾讯cdn后台访问控制下的黑名单中添加如下规则:
107.155.51.0/24
反正是国外的ip,全部撸了。一个外国人这么喜欢我大天朝的妹子吗?也有可能是我国人搞的。要真是那我真的要喷死他了,闲得蛋疼来祸害我,有本事把你的武器朝着国外啊。
第二件事,添加新的监控策略。
- 新增一分钟流量超过300M报警策略,因为我设置的带宽峰值是50M,算下来一分钟也就300M左右,超过我就断开CDN。
- 新增单IP访问阈值10QPS
本来还想再加个referer白名单的,但是好像网页也会被处理,所以还是取消了。
总结
CDN这东西,最好限制条件加多点,只要不影响正常业务,随便加。我以前就是懒,才造成这么大的损失(一顿饭钱)。国内CDN至今不免费,好伤。免费CDN节点又太少,速度跟不上。
另外,CDN关闭后回源服务器一定要做好防御,不然会死机了。一般宝塔自带单ip的CC防御功能,没用宝塔的朋友建议使用张戈大佬开发的CCkiler,原理一样的,具体可见利用系统防火墙拦截CC攻击的轻量级防御脚本
评论 (4)