用的 Wordpress 程序,这哥以前都是持续 CC ,他 C 我,我修复...现在普通 CC 可以防住了 但是现在换了种,他一下子给我打进来 20 万动态请求, CDN 直接回源,服务器直接 502...每次都是十几秒内完事儿...然后他就不打了...
1
kungfuchicken 2016-12-02 20:27:27 +08:00
1. 看 CDN 是否支持参数白名单,限制只有部分白名单的参数才能回源
2. 在服务器 Nginx 上做同样的事情,给 php 开启 fastcgi_cache ,防止缓存穿透 |
2
Zohar 2016-12-02 20:42:34 +08:00 via Android
换 IP ,然后上 CloudFlare
|
3
des 2016-12-02 20:43:03 +08:00 via Android
话说你惹到谁了?像这种持之以恒不常见哎
|
4
dzxx36gyy 2016-12-02 21:54:33 +08:00 via Android
先看看是不是 pingback 攻击,是的话直接 ban ua
|
5
ethanlu 2016-12-02 22:00:42 +08:00
|
6
d754903977 OP @Zohar 谢谢啊..CF 不能用..我 IP 他应该不知道
@dzxx36gyy 不知道 pingback , pingback 我从一开始就关掉了的 @des 我也不知道...攻击了我两三个月了... @kungfuchicken 这个好像比较高级了...百度直接没有白名单...阿里和腾讯只有 IP 白名单... |
7
d754903977 OP @ethanlu 这个好像很厉害...我试试看去
|
8
daolin998 2016-12-02 22:06:38 +08:00 via iPhone
@d754903977 我也是连续被 cc 三天了,目前无解,安全狗开了没用
|
9
Asimov 2016-12-02 22:11:25 +08:00 via Android
block ip
|
10
xiaoz 2016-12-02 22:11:37 +08:00 via iPhone
看看日志有没有 pingback ,如果有再看看这些发起 pingback 是不是都是国外网站或者国外 ip ,然后直接将国外请求指向 127.0.0.1 。注:和你博客是否关闭 pingback 无关,而是所有 wp 网站没关 pingback 都有可能沦为肉鸡。
|
11
dzxx36gyy 2016-12-02 22:11:57 +08:00
@d754903977 看日志吧,如果是打 xmlrpc 的那直接把 wp 的 xmlrpc.php 干了也行
|
12
Showfom 2016-12-02 22:12:49 +08:00
直接静态化,然后屏蔽 php 文件访问
|
14
xiaoz 2016-12-02 22:16:22 +08:00
@dzxx36gyy 无用的,对方是用肉鸡发起攻击,你把 xmlrpc.php 删了请求依然过来,顶多返回 404 状态。照样打死
|
15
xiaoz 2016-12-02 22:17:25 +08:00 1
@daolin998 大多数智能解析都能办到。比如 cloudxns 、 dnspod ,之前我网站被 wp 的 pingback 攻击了,然后把所有国外 IP 解析到 127.0.0.1 ,瞬间安静许多。
|
16
vugusurk 2016-12-02 22:22:49 +08:00
1 秒 20 万?我敢说世界上 95%以上的网站都扛不住这么大的并发
|
17
lhbc 2016-12-02 22:27:54 +08:00
@xiaoz 删了是 xmlrpc.php 最差的方案
应该在 nginx 里为 xmlrpc.php 建一个高优先级的 location 返回空白内容的 200 , Cache-Control 设为 public; max-age=3600 这样请求都在 CDN 上了,带宽也用不了多少,想节省资源可以顺便把能去掉的头部都去掉 |
18
scys 2016-12-02 22:28:32 +08:00 via Android
全静态化,丢 CDN 中间源,完事…记得看紧钱包
|
19
caogen9 2016-12-02 22:38:50 +08:00
开 cf 的 5 秒盾 应该就解决了
我最近研究了一下 kangle 商业版本的防 CC 效果也非常好 |
21
lhbc 2016-12-02 23:18:05 +08:00 via Android
@Ed CDN 通常不会缓存 404 ,所以所有请求都会回源。
而返回 200 并且设置好 Cache-Control , CDN 会缓存到各个节点,请求就不会回源了。 |
22
d754903977 OP |
23
langmoe 2016-12-02 23:58:23 +08:00
iptables 限制并发数量
|
24
techmoe 2016-12-03 00:43:47 +08:00 via Android
请求内容是什么?尝试暴力破解 admin 密码?
|
25
lhx2008 2016-12-03 00:56:38 +08:00 via Android
nginx 反代缓存,或者别的方法做 html 静态化,评论用第三方,直接硬抗就可以
|
26
cst4you 2016-12-03 05:42:27 +08:00
nginx cookies 验证也是可以的.
|
27
daolin998 2016-12-03 09:40:41 +08:00
|
30
zeraba 2016-12-03 11:45:04 +08:00 via Android
verynginx waf
|
31
d754903977 OP @daolin998 你全是海外 IP 真好..打我的全是国内的 IP..
|
33
icedream728 2016-12-03 16:06:45 +08:00
查看大频率访问的 ip ,然后 block 掉
sudo awk '{print $1}' /var/log/nginx/access.log |sort |uniq -c|sort -n |
34
daolin998 2016-12-03 19:04:03 +08:00
@d754903977 别提了,封掉了海外 IP ,国内 IP 也成群结队, 10M 带宽被耗尽了。。。
|
35
d754903977 OP @daolin998 额,好吧,我现在上了带防护的 CDN 测试...真头疼...
|
36
daolin998 2016-12-03 20:50:55 +08:00 via iPhone
@d754903977 哪家 cdn ,我用安全狗没什么效果
|
37
d754903977 OP @daolin998 我云盾、 360 、加速乐这些带防护的一家一家在试...要是哪家有效果了再告诉你...
|
38
daolin998 2016-12-04 09:45:31 +08:00 via iPhone
@d754903977 我的攻击在凌晨一点停止了,三天打了 800g 流量进来,还不包括防火墙屏蔽跟安全狗阻止的……
|