V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Kaiyuan
V2EX  ›  问与答

一堆伪装成 Googlebot 的 IP 不断访问我的服务器如何解决?

  •  
  •   Kaiyuan · 2016-11-04 02:03:18 +08:00 · 6091 次点击
    这是一个创建于 2941 天前的主题,其中的信息可能已经有所发展或是发生改变。

    不断的变 IP ,而且几乎没有重复 IP 。 我现在的设置是通过 IP 访问的都 301 到 127.0.01 。域名访问的有 CF 顶着。

    当初不知道要设置只能域名访问实在是无奈,现在被攻击才知道要隐藏。这样情况应该只有换 IP 才能解决了?

    第 1 条附言  ·  2016-11-05 03:11:31 +08:00
    现在 iptables 用白名单机制仅允许 Cloudflare 和家里的地区 IP 访问,瞬间清静了。

    https://www.cloudflare.com/ips/
    21 条回复    2016-11-05 07:09:14 +08:00
    ericls
        1
    ericls  
       2016-11-04 02:09:57 +08:00
    空 hostname 直接 return 个 403
    crab
        2
    crab  
       2016-11-04 02:18:43 +08:00
    这个是在 cc ?
    ryd994
        3
    ryd994  
       2016-11-04 06:25:57 +08:00 via Android
    default host 直接 404 就好,空响应 Nginx 每秒上百都是小意思。又不是 DDoS 不用换 IP
    设置了只能域名访问,别人就不知道你 IP 了?
    而且话说回来………你首页不做缓存的么?
    msg7086
        4
    msg7086  
       2016-11-04 06:43:21 +08:00
    你要暴力点呢 fail2ban 直接进监狱。
    温柔点呢就直接 access_log off 进黑洞。
    反正 nginx 每秒上千次的访问都是小意思。
    Kaiyuan
        5
    Kaiyuan  
    OP
       2016-11-04 10:03:11 +08:00
    @ryd994 个人 Blog ,平时访问量只有十几二十 IP 。使用 CloudFlare 域名不会解析到主机的 IP 的。
    samcode
        6
    samcode  
       2016-11-04 10:18:01 +08:00
    gethostbyaddr *.googlebot.com
    zhanglp888
        7
    zhanglp888  
       2016-11-04 11:48:57 +08:00
    给它返回 Zip bomb 如何?
    ryd994
        8
    ryd994  
       2016-11-04 12:03:56 +08:00
    @Kaiyuan "当初不知道要设置只能域名访问实在是无奈"
    难道你把 IP 给用户么?
    Kaiyuan
        9
    Kaiyuan  
    OP
       2016-11-04 12:51:06 +08:00
    @ryd994 没有使用 CDN 的情况下域名是直接解析到真实的 IP ,只是个人小 Blog ,而且是使用默认配置,能直接通过 IP 访问网站,后来才用 CloudFlare 。
    beimenjun
        10
    beimenjun  
       2016-11-04 13:11:35 +08:00
    你发现被攻击,然后上 CF 也没换 IP 吗?现在就是对方直接对源 IP 进行攻击吧。

    其实就算用 CF 只要攻击峰值达到一个不高的程度就超过 CF 的配额,然后很快就会回源了, IP 还是暴露了。

    IP 访问直接 ban 了好了。
    onlyice
        11
    onlyice  
       2016-11-04 13:19:20 +08:00 via Android
    给他 302 一个 10G 的文件
    xiaozi
        12
    xiaozi  
       2016-11-04 13:43:51 +08:00
    QPS 那么低也算攻击?
    ryd994
        13
    ryd994  
       2016-11-04 14:28:45 +08:00
    @Kaiyuan 我的意思是说, 就算你不用默认配置,一开始就禁止通过 IP 访问网站, IP 一样会暴露.
    因为 IP 是否暴露单纯取决于 cf 的配置, 和你服务器配置无关.

    另外,每秒一个请求就挂了, 你真心需要认真优化一下
    wesley
        14
    wesley  
       2016-11-04 14:55:34 +08:00
    redirect to gov.cn
    ryd994
        15
    ryd994  
       2016-11-04 16:08:28 +08:00
    @onlyice 这种都是脚本打的,脚本会在意 302 才怪
    onlyice
        16
    onlyice  
       2016-11-04 16:16:00 +08:00
    @ryd994 requests 默认就做了 302 跳转

    anyway ,不是严谨的技术讨论,不继续扯了
    Kaiyuan
        17
    Kaiyuan  
    OP
       2016-11-04 18:41:01 +08:00 via Android
    @ryd994 挂是不可能的,这是我限制了请求次数后的日志,没限制的时候每秒一个 IP 几十个请求。

    实际个我是用了 CF 后很长一段时间才发现被攻击,因为没想到一个通常访问量只有个位数的个人 Blog 会被攻击…
    Technetiumer
        18
    Technetiumer  
       2016-11-04 20:25:53 +08:00
    Nginx 给他返回 HTTP 444
    CloudFlare 用页面规则设置缓存全部
    Technetiumer
        19
    Technetiumer  
       2016-11-04 20:39:47 +08:00
    还有,不换 IP 的话,估计人家一直 C 你源站,换 IP 然后并设置 CloudFlare 受到攻击模式
    Balthild
        20
    Balthild  
       2016-11-04 21:30:39 +08:00 via Android   ❤️ 1
    如果你的流量一律通过 cloudflare 加速,你可以用 iptables 把除了 cf IP 段之外的其他 IP 请求全部 REJECT
    ryd994
        21
    ryd994  
       2016-11-05 07:09:14 +08:00 via Android
    @onlyice 骚年你知道 ab 么………
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1297 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:55 · PVG 01:55 · LAX 09:55 · JFK 12:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.