欢迎光临
IDC人自己的网站

本站CC攻击事件总结

本站没啥流量,一天可能10 IP,突然被CC攻击 总请求2.8亿 应该是一些关键词被搜索引擎排名上去了
事件还没结束 做个事件总结

起因
曝光一些欺诈方式销售产品的商家 招致的报复行动
高度怀疑是  flaunt7.com 这个商家的行为,这个是从攻击日志和时间分析的
但是这个 flaunt7.com 已经倒闭了, 所以也可能是国人干的,也可能是倒闭了怪文章

行为
小白行为,CC攻击,就是使用肉鸡代理IP和一些VPS,来刷特定网页,让服务器超负载,PHP处理不了请求就会报502错误

目的
让网站打不开

处理
收到节点负载突然升高,一看日志 有9个G了
改名了日志观察攻击行为和频率,发现PPS越来越高
本来使用的AZURE的VM 域名是使用了Cloudflare的DNS服务 但是没开启CDN
所以先开启了 Cloudflare的 “Under Attack Mode” 就是那个五秒盾
情况改善不大 好像攻击脚本能自动绕过 能自动确认勾选确认框

然后开启了WAF,建立了几个规则
第一个阶段 它是刷特定页面 /page/xxx.html 这样的
指定了 URI PATH = /page/xxx.html 默认BLOCK 掉
安稳了几个小时 可能发现攻击被拦截了
又改了个页面URL 继续在刷

第二个阶段 是大力出奇迹
搞了6千多个IP刷不同页面 刷首页刷其它页

这样也不是个办法是,哪有时间和它斗智斗勇

只能祭出组合大杀器 最终的解决方案

第一步 把网站迁到高性能的服务器上
配置环境以后, 加上IP访问限制,只允许 Cloudflare的反向代理IP段访问
真实服务器禁止公网访问,避免对方绕过 Cloudflare 直接攻击源服务器

第二步 开启Cloudflare 任意缓存
这样Cloudflare会缓存所有内容到Cloudflare的服务器 不在回源请求

第三步 屏蔽掉高频ASN和TOR
例如攻击我的主要是5个国家 印度 巴西 俄罗斯 越南 TOR网络
还有几个主要ASN
我们直接屏蔽掉


第四步 为避免它后续改为刷PHP后缀文件导致回源
我们直接屏蔽掉PHP后缀 只允许特定IP访问 这样就预防性解决了这个问题
这里的特定IP是你自己的,因为你正常可能需要维护更新内容什么的

第五步 限制请求频率
Rate limiting rules 制定一条频率限制
现在每60秒同IP可访问几次,超频率限制多久

这番操作下来 差不多就可以安枕无忧了

采样的信息 这个是24小时 攻击持续了2天

赞(0)
未经允许不得转载:IDC头条 » 本站CC攻击事件总结

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

全国首家专注IDC行业的垂直自媒体

我要投稿互帮互助