远方的海
远方的海,WordPress,免费
2015 Oct 14 04 : 21

网站被CC、DDos攻击的终极解决方案

您当前的位置: 首页 > 个人笔记 > 建站笔记 > 正文
欢迎光临远方的海!您可能还对 WordPress建站免费资源最新IT动态 感兴趣,点击开启 悦读 模式。CTRL+D 快捷收藏本文,我们期待您再次光临!
[文章目录]

本文彻底的分析并尝试让大家彻底摆脱CCDDos攻击。首先,先看看之前我发过的文章:WordPress防CC、DDOS攻击,里面讲述了从DNS解析CDN(网站卫士)和PHP代码限制刷新的手段解决网站被攻击的解决方案。

之前的防御并没有什么卵用

然而,道高一丈,魔高三丈。之前的手法看似天衣无缝,但是实际来看,并没有什么卵用!最近几天,网站又开始被人CC了。首先我们先了解一下CC攻击的种类

网站被CC、DDos攻击的终极解决方案

被CC攻击的多表现但不局限于:

  • 本来秒开的网站需要等待1分钟甚至更多时间才可以打开;
  • 数据库连不上了;
  • 各种类似508的错误等。

CC攻击的种类

想要防御攻击者,就要先了解一下对方,以下分类转自网络,作者不详,远方的海觉得写的很通俗易懂,就复制下来给大家看看。

CC攻击的种类有三种,直接攻击,代理攻击,僵尸网络攻击

直接攻击:主要针对有重要缺陷的WEB应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。

僵尸网络攻击:有点类似于DDOS攻击了,从WEB应用程序层面上已经无法防御。

代理攻击:CC攻击者一般会操作一批代理服务器,比方说100个代理,然后每个代理同时发出10个请求,这样WEB服务器同时收到1000个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时WEB服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,就象本来你去食堂吃饭时,一般只有不到十个人在排队,今天前面却插了一千个人,那么轮到你的机会就很小很小了,这时就出现页面打开极其缓慢或者白屏。

攻击者的升级

一般我们遇到的情况,就是几个IP,不断的访问网站请求资源。

之前CC攻击的手段是攻击网站的任何一个页面,后来有了统计工具,攻击的时候IP就会被记录下来,于是做坏事的人就换了方法——去登陆页面或者管理后台这样没有统计代码的地方搞破坏。但是新的PHP代码解决方案出来了,通过SESSION来记录刷新的次数,然后针对超过在规定时间内访问次数的IP,进行页面重定向;只要是页面总会有代码,所以这个PHP的解决方案在当时也是很有效的。

然而事情并没有到此结束!最近我看了系统日志,才发现,攻击者开始不对页面进行CC攻击了,而是对着站点的favicon.ico进行CC攻击,这么个小文件几乎每个网站都有。而且这样的文件,根本防不胜防了。即使你用了诸如七牛CDN之类的CDN,访问源站的地址还是会访问到的。

升级版的解决方案

对于这样的攻击,我是无计可施了,我百度和谷歌了相应的解决方案,找到了以下几个比较靠谱的手法,供大家参考:

域名解析

暂时暂停一下域名的解析:本方法适合域名真实IP还没有暴露的朋友们,如果CC攻击者是通过域名攻击你的网站的,那么我们暂时让他们攻击失效,一会儿就会好起来。

或者你也可以把自己的域名解析到127.0.0.1上,让攻击你的CC狂魔来反攻击自己的服务器。

防火墙

安装防火墙:如果你是VPS用户,可以试试阿里云盾,或者CSF这款免费的防火墙程序。顺便附上一行CSF防火墙有效设置防止CC攻击的设置行:首先用vim命令打开csf.conf,然后修改一行命令:

vim /etc/csf/csf.conf 
PORTFLOOD = "22;tcp;5;300,80;tcp;20;5" 

设置IP黑名单

这个方法实际上也是最无奈,也是最有效的方案。我在寻找CC攻击的解决方案的时候看见了月光博客发的博文,虽然月光没有给出他的代码,但是他说了他的思路就是屏蔽IP黑名单。像月光博客这么大的网站,黑名单IP也只有100多条。于是我决定自己找出这些老鼠屎手动屏蔽之。

打开网站访客日志,查看异常IP,进行屏蔽。为了大家看的清楚,我这里用Cpanel面板截图:

网站被CC、DDos攻击的终极解决方案

点击最近访客就可以进去查看网站的访客和他们的浏览行为了。哪些IP是可疑的?

  • 短时间内频繁访问网站的IP;
  • User Agent中包含MSIE 6.0的IP,这个年代,身为人类,用这个浏览器的人不多,经过我的观察,100%的恶意CC攻击的IP都是来自这个UA,其实我早就想把所有的IE6.0用户排除我的网站了,正常的访客,一个月里面也没有几个会用IE6.0浏览器的了;
  • 访问favicon.ico次数频繁的IP,前面说了,不解释;
  • 来自同一频段的IP,比如168.168.121.9和168.168.119.8这样相近的IP如果多次出现在你的访客中,显然都是一伙的来刷CC的,屏蔽掉。

在这里屏蔽掉!如图:

网站被CC、DDos攻击的终极解决方案

一般情况下,有多少IP需要屏蔽呢?前面说了月光博客屏蔽了100多个,远方的海是个小站,屏蔽了11个IP地址。可见也不是什么大工程!

XX网站卫士要不要用?

你可以用,但是没有什么卵用。我从月光博客的评论区里面找一个评论给大家看看:

1、加速乐,这个是百度站长平台官方推荐的,以为有这个后盾,还有引蜘蛛功能,肯定能大幅提高网站SEO效果。使用了一段时间,没啥效果,还是换回之前用过的360网站卫士。

2、360网站卫士,这款产品我用了一年多时间,比较有发言权。不得不说后台操作体验做得很好,号称200G流量的高防。不过,不知名小站点也无人大流量攻击。用了大半年时间,没事就上去检测下网站漏洞啥的,评分一直是100左右,提示我网站固若金汤……直到一天,我登录爱站网一查询,网站标题、关键词都被恶意替换。而且你直接打开网页是看不到被修改的,用JS隐藏了。网站文章目录被上传几百个博彩类静态页面。因为过于相信360的垃圾防御,发现这些问题时,已被修改几个月了。网站权重、收录大幅下降,百度也一直未给我恢复,还是google好,反应快。

再加上我自己的案例,我本身使用了360网站卫士的安全DNS解析,但是还是没有HOLD住10个IP的CC攻击,可见这些个卫士确实没有什么大用处。

最后祝大家的博客、网站、论坛、门户都安安全全,不被那些CC狗困扰,安心做网站。我也感谢那些天天CC攻击我的老鼠屎们,感谢你们让我又学了点新东西。呵呵。   

好文!分享给朋友,或者点个赞吧~

文章信息

分类:建站笔记

您可能也会喜欢

发表回复

Post Comment


  1. 张戈博客 :

    可以试试我写的CCKiller:https://zhangge.net/5066.html
    更进一步,云锁好像也不错,有个浏览器session校验

    2015-12-31
    • Sven水神 :

      @张戈博客 你的CCKiller之前我就有关注过,不过我的这个网站是挂在虚机上的。装不了呢。

      2015-12-31
  2. 土木坛子 :

    免费的东西是最贵的,就不要有什么指望了。

    2015-12-31
  3. 小众网站 :

    很好的经验,感谢分享,欢迎回访

    2015-12-8
  4. 厘米 :

    使用网站卫士主要是保护自己的真实IP,真实IP泄漏不但有网站的攻击还有ssh暴力破解登录等威胁。其实面对CC攻击最好的方法就是纯静态化,静态化了随便人家怎么C。张戈博客有许多这方面的教程你可以看看,他有个CCKiller小工具好像还不错。

    2015-10-28
    • Sven水神 :

      我这个站现在放在虚拟主机上,CCKiller装不了。不过zhangge的博客最近也因为发了这些教程成为了CC练习者的众矢之的。

      2015-10-28
      • 厘米 :

        @Sven 是的,他的博客经常被拿来练习,应该也习以为常了!

        2015-10-30
  5. CK :

    其實沒什麼可以做,如果人家的一直使用CC攻擊…

    2015-10-21
    • Sven水神 :

      别提了,前几天天天一到晚上就被CC。搞了半天才把那些IP抓出来。

      2015-10-21
  6. 老杨 :

    ip 黑名单方法不错,人工找 ip?还是有工具辅助呢?
    另,你这里居然不能记住评论者信息。

    2015-10-14
    • sven水神 :

      @老杨 我是人工找出来的,只有11个,不多。之前做缓存的时候清空了评论的cookie,多谢提醒,过几天我把cookie加回来。

      2015-10-14