这是一个创建于 2269 天前的主题,其中的信息可能已经有所发展或是发生改变。
早上好。
像平时翻墙用的 ssh 服务器,改掉 ssh 默认端口,上传密钥,禁掉密码登录,再封掉其它端口,基本能保证不会被黑进去。这些措施算是减少 ssh 端口攻击的基本措施。
那么,类似的,网站 /论坛服务器有什么减少 DDoS 的基本措施吗?
之前在版块里问过大家一些 DDoS 的问题,主要的解决(其实即近似无解对吧)手段各位也都说了,当真有人想 D 你的时候,是躲不过去的。我想问的是,有哪些基本防范措施,能有效增加别人 D 你的难度?以及减少别人 D 你的兴趣和机会?
我有一些歪门邪道的猜想,来抛砖引玉:
1,如果是静态网站,托管到 github page 或者一些博客下建立次级域名,这样别人是不是就不能直接 DDoS 你了?乱猜的,千万不要喷我。。。
2,上 cdn,隐藏 ip。这个性价比怎么样?
3,vps 服务商提供有网页版的控制面板,我们就写一个变态的脚本,监测带宽使用,发现异常,就远程关机,然后不定时开机。这样至少能保证流量不会被打穿,月底去交 bill。
像平时翻墙用的 ssh 服务器,改掉 ssh 默认端口,上传密钥,禁掉密码登录,再封掉其它端口,基本能保证不会被黑进去。这些措施算是减少 ssh 端口攻击的基本措施。
那么,类似的,网站 /论坛服务器有什么减少 DDoS 的基本措施吗?
之前在版块里问过大家一些 DDoS 的问题,主要的解决(其实即近似无解对吧)手段各位也都说了,当真有人想 D 你的时候,是躲不过去的。我想问的是,有哪些基本防范措施,能有效增加别人 D 你的难度?以及减少别人 D 你的兴趣和机会?
我有一些歪门邪道的猜想,来抛砖引玉:
1,如果是静态网站,托管到 github page 或者一些博客下建立次级域名,这样别人是不是就不能直接 DDoS 你了?乱猜的,千万不要喷我。。。
2,上 cdn,隐藏 ip。这个性价比怎么样?
3,vps 服务商提供有网页版的控制面板,我们就写一个变态的脚本,监测带宽使用,发现异常,就远程关机,然后不定时开机。这样至少能保证流量不会被打穿,月底去交 bill。
第 1 条附言 · 2018-08-20 13:22:31 +08:00
希望有经验的朋友能讨论一下第一条,把网站托管在 github page 或其它比较大的博客平台的下面。
这样,网站没有独立 IP,就不会遭到 DDoS 了对吗?是不是对简单的静态网站比较适用呢?
进一步推论,用“虚拟主机”,代替 vps 来建站,是不是要省些心呢?不用担心 DDoS ?
这样,网站没有独立 IP,就不会遭到 DDoS 了对吗?是不是对简单的静态网站比较适用呢?
进一步推论,用“虚拟主机”,代替 vps 来建站,是不是要省些心呢?不用担心 DDoS ?
 |
1
Laynooor 2018-08-20 08:07:12 +08:00 via Android
第三点,关机了还是有路由的,流量打过来机房还是会把你扔黑洞里。
|
 |
2
kongque2016 OP @Laynooor 就是说,我关不关机,这个流量都要我掏钱是吗?就没有一点儿办法了吗?
|
 |
3
Wincer 2018-08-20 08:15:48 +08:00 via Android
我记得 github pages 的流量也是有限制的,好像是 100g
|
 |
4
RiESA 2018-08-20 08:20:53 +08:00
cdn 最实际了,cloudflare 免费,不过访问较慢,如果域名有备案,国内一些服务商也有提供免费 CDN
|
|
5
kongque2016 OP @Wincer 对,是 100g。不过感觉 github 下面的网站,不怎么会引起黑客的兴趣。而且我猜 DDoS 是 github 帮着抗。
|
 |
6
cnbeining 2018-08-20 08:26:35 +08:00
干脆不监听公网 IP 就得了。
|
 |
7
harde 2018-08-20 08:57:39 +08:00  2
DDoS 是属于攻击代价低廉,防范代价高昂的攻击方式。
某种角度属于无解。 因为公司常年被 DDoS,所以针对楼主说的几个猜想我简单回答下。 1、是的。但是攻击流量需要 GitHub 来扛,虽然 GitHub 每年遭受的攻击真不差楼主这点。 2、没有性价比,扛得住的流量费你受不了,扛不住的也没意义。 3、关不关机跟流量没关系,运营商发现后直接黑洞。 @Laynooor 已经说了。 目前我们的解决方案是一年掏个十几万的买高防 IP。比较浪费钱,但至少保证服务稳定可用。 |
 |
8
Judoon 2018-08-20 09:03:26 +08:00 via Android
纯流量型的 ddos 完全没有措施减少,只能上流量清洗设备或者高带宽来防护。你说的三个方案都是防护,并不能本身去减少攻击啊!
|
 |
9
abccccabc 2018-08-20 09:16:58 +08:00
楼主,要不试用下 nginx 的 limit_req_zone,我以前用过。
|
 |
10
H0TSp1RnG 2018-08-20 09:32:43 +08:00 via Android
换成服务器主动发起呢
|
 |
11
ithou 2018-08-20 09:56:48 +08:00 via Android
我们 cc 域名无法备案是硬伤~ 用不了国内 cdn
|
 |
12
sen2 2018-08-20 10:00:35 +08:00
别装逼别引起别人注意
|
 |
13
components 2018-08-20 10:03:59 +08:00
1.CDN
2.流量清洗 |
 |
14
photon006 2018-08-20 10:24:33 +08:00
配置 nginx:
limit_req_zone:同一 IP 每秒限制最大请求数 limit_conn_zone:限制同一 IP 最大连接数 能起到一定作用。 也有弊端,局域网出口 IP 相同,如果多个用户同时访问会遇到 503,把限制放宽点,免得误杀。 |
 |
15
inkedawn 2018-08-20 10:40:33 +08:00
关机这个……
攻击者的目的本来就是想让你服务无法使用吧……人家一打你就乖乖关了,这么听话…… 如果为了省流量的话,楼上也说了…… |
 |
16
f2f2f 2018-08-20 10:45:08 +08:00
防御加钱可及
|
 |
17
blackhacker 2018-08-20 10:54:25 +08:00
3 写个变态脚本一开机就开始攻击 手动狗头 /dog
|
|
18
kongque2016 OP @harde ”是的。但是攻击流量需要 GitHub 来扛,虽然 GitHub 每年遭受的攻击真不差楼主这点。“
谢谢回复,进一步问,托管在 GitHub 上的网站,没有独立的 IP,就是说,攻击者没有办法直接用 DDoS 的方式,攻击我的网站对吗? |
 |
19
leido 2018-08-20 12:50:25 +08:00
既然你敢随时关机,发现攻击了改 dns 指向被墙的网站不就行了, 比如脸书。
|
|
20
leido 2018-08-20 12:52:22 +08:00
当然你域名 TTL 要足够短,比如一分钟
|
|
21
kongque2016 OP @leido 可以这样?我研究一下。
|
|
22
leido 2018-08-20 12:57:37 +08:00
个人觉得就算你不用 cdn,有一个前端代理也是好的,代理挂了就挂了,换个代理就行了。
|
 |
23
xenme 2018-08-20 13:04:53 +08:00 via iPhone
@kongque2016 直接打 IP 就行了。
|
|
24
harde 2018-08-20 14:25:44 +08:00
@kongque2016 可以这样理解。不过这里同时有几个问题。
1、放在 Github 的静态站点没有什么值得攻击的。 2、如果的确攻击的频率、流量引起 GitHub 的注意,GitHub 说不定也会关停你的页面。 |
|
25
harde 2018-08-20 14:28:18 +08:00 1
@kongque2016 实话说,其实楼主既然已经在问 DDoS 攻击的事了,按理说也应该具备,至少粗浅的具备运维知识了。
不太应该问出这个问题的,而如果楼主作为开发人员,其实也不太需要在意这些事情。。。 |
 |
26
Jimrussell 2018-08-20 14:56:14 +08:00 via Android
竞争对手比较单一的话,就搞清楚了就花点钱 D 回去。这个是成本最低的方法。
|
 |
27
imdong 2018-08-20 15:22:07 +08:00
要么干掉打来的流量(用宽带扛下来)。
要么干掉攻击的人。 |
 |
28
wafm 2018-08-20 15:32:01 +08:00 5
曾经混过一段时间的灰产分享一些
1.Github 发现你的域名异常,会第一次时间拉黑(可以理解成域名黑洞),可能你这个域名以后无法再也解析到 Github。 2.上 CDN 是个好办法,防 Ddos,不防 CC (除非你纯静态可缓存),我个人推荐是 CDN+WAF,这是成本相对较低实用性较大的办法。 3.这个完全就是自欺欺人,1 楼说的很清楚了,流量到机房自然就黑洞了。 4.上面有人提到 DNS 解析到别人的 IP 去,其实这是个非常危险的行为,很多人可能意识不到,当你指向别人的 IP,不管是 GOV 的也好还是比较知名的大服务商,万一真这个第三方真的挨打受损了第一个抓的可不是打你的人,而是你这个指向的人,因为你想想是一个域名的信息好查,还是控制流量躲在背后的人好查?事情发生了总要拉个背锅的。 5.真实流量打过来,什么软件防御都是无效的,打个比方,一个泳池放水能力是 1 立方 /S,水管就这么大,大于 1 立方的都得等着,如果水太多漫出来影响到其他泳池,那么不好意思,肯定不让你继续进水了,因为其他泳池受影响了。 6.DNS 一样可以进行查询攻击,服务商也会停止你的解析。 7.单条家庭带宽是打不出“量”的威力的,除非你 JJ 数量真的非常巨大,“量”主要看上传速率,参考国内运营商,如果你长时间或者固定时间上传保持在高速率,会被运营商风控盯上拉黑限速,一些拿家庭带宽做个人网站的同理都是被风控盯上,这里就不多说了。 8.所谓 100G 200G 甚至 300G 防御的机器怎么才几百块或者是千把块?我告诉大家,这类机器价格=机器成本(含机房成本)+流量成本+商家利润,是的,这类机器或许可以帮你挡几波攻击,一旦流量成本被消耗完毕,那你这个机器基本上是属于黑机,什么意思,就是说帮你挡完你该享有的流量成本后,随便一碰就会凉凉黑洞。 9.目标比较好的防御方式我分享一下,WEB 服务参考分享 2,如果是 C/S,我个人推荐是分布式,也就是市场上现在的各种盾,原理也就是 N 个前端反代结合后端的源机,做到隐藏源机 IP 的作用,所有人不在同一台服务器即使被 D 损失也相对较少,而且攻击者会无从下手,当然这个成本是不低的,说一下百度上面的“游戏盾”几百块一个月的节点挨不了多少打的,DDOS 的对抗就是成本问题。 10.总结一下,在 DDOS 界里,充斥着不少不诚信的行为,不管是想攻击别人上当受骗的,还是被不良商家忽悠买机器的。 |
|
29
kongque2016 OP @harde 我是开发人员,但业余要维护一个网站(论坛)。
|
 |
30
RobertYang 2018-08-20 15:51:19 +08:00 via Android
真正的 DDoS 没有什么防护措施,除非跟运营商合作做流量牵引,或者有机房做流量清洗,不然真没什么办法
|
|
31
kongque2016 OP @wafm 其实我如果上 cdn 的话,主要是要他隐藏 IP 的功能,至于“抗揍”的功能不奢求(因为没钱砸)。IP 一隐藏的话,起码不会让人随便摸一下打一下,就好比夜晚把衣服收回屋子里,是防止无心的路人起贼念,但不防大盗,想偷就偷,反正我这衣服也不值钱,明天再买一件就是了。
|
|
32
kongque2016 OP @wafm 干货好多,赞一个。
|
|
33
wafm 2018-08-20 16:04:08 +08:00
@kongque2016 那其实你可以参考一下负载均衡,那个应该更便宜一些。。
|
|
34
harde 2018-08-20 16:35:32 +08:00
@kongque2016 那么最好的办法,就是让甲方加钱。甲方要是觉得贵,你省事了。甲方要是掏钱了,你也省事了。
|
 |
35
woshipanghu 2018-08-20 19:27:04 +08:00
上个百度云加速 简单直接有效 哪还需要这么折腾啊
有钱的 上知道创宇 |
 |
36
raptor 2018-08-20 21:13:51 +08:00
其它的大家说得差不多了,我说最后一点吧:
不要把虚拟主机想得太好,我用过一个号称国外不限流量的名牌虚拟机主机,曾经被攻击过,流量可能才 10G 吧,就被服务商拉黑了。 |
 |
37
xinghai10086 2018-08-21 00:24:44 +08:00
@RiESA cloudflare 访问慢很多,cloudflare 的付费没用过不知道速度上差的多不多。自建 cdn 技术或者资料有推荐的么
|
|
38
xinghai10086 2018-08-21 00:25:43 +08:00
@harde 使用高防 ip 访问速度会降下来么?自建 cdn 靠谱不
|
 |
39
shiny 2018-08-21 01:19:56 +08:00
@wafm 请教下,有段时间我们一个网站经常性被 DDoS,打趴下的有阿里云和 cloudxns,最后切到百度云加速后攻击就无法继续,国内还有哪些性价比比较高的防护服务?
|
|
40
harde 2018-08-21 08:38:28 +08:00
@xinghai10086 不会降低速度,至少用户无感。自建 CDN ?怎么个建法?应该不是机房吧?用多台异地主机?之前我们被攻击,峰值流量 50G 左右,你得多少个主机抗。。。
|
 |
41
tyzrj766 2018-08-21 09:04:19 +08:00 via Android 1
基本防御就是用 CDN 隐藏真实 IP,不要暴露主机的 IP,不要作死求打,剩下的看天。如果你没钱,抗不住的,那些高防的也是有一定条件的,即使可以防御如果不做定制规则,对网站影响还得挺大的。而且基本都得砸钱。
被打就是关机睡觉,虽然关机是没用的,只是一种无奈的自嘲罢了。在一些竞争激烈的地方互相 DDCC 也是日常了。 |
|
42
wafm 2018-08-21 15:56:07 +08:00 1
@shiny 百度云加速做的是不错的,我很推荐。
前身是安全宝,也就是知道创宇合作的产品,现在又和 cloudflare 合作 可以说是挺好用的了 其他的不清楚 当时我也用的是百度云加速 只要设置得当效果不错的。 |
 |
43
c00WKmdje2wZLrSI 2018-08-24 14:37:03 +08:00
@ithou cc 不能备案?我前两个月才刚备案了个 cc
|
|
44
ithou 2018-08-24 14:57:10 +08:00 via Android
@c00WKmdje2wZLrSI 对啊 我阿里云买的,不能认证不能备案 😅
|
|
45
xinghai10086 2018-08-24 22:36:03 +08:00
@harde 你们后面是用的哪家 cdn,如何处理抗住 50g 流量
|
|
46
harde 2018-08-27 15:54:36 +08:00
@xinghai10086 阿里高防 IP
|
Select Language