,,

網(wǎng)站剛上線，就被 DDoS 攻擊炸了！

當(dāng)前位置：點(diǎn)晴教程→知識(shí)管理交流 →『技術(shù)文檔交流』

freeflydom

2024年12月4日 9:12 本文熱度 876

今天是一個(gè)值得紀(jì)念的日子，你打開一罐可樂，看著自己剛剛上線的小網(wǎng)站，洋洋得意。

這是你第一次做的網(wǎng)站，上線之后，網(wǎng)站訪問量突飛猛進(jìn)；沒過多久，你就拿到了千萬的風(fēng)投，迎娶了女神，走上了人生巔峰。。。

害，原來是喝醉了啊。。。你發(fā)現(xiàn)剛才那一切竟然都是你的幻想！

這時(shí)你突然收到了一封郵件：

你：？？？

雖然你之前就聽說過 DDoS 攻擊，但沒想到這么快就發(fā)生在了自己的頭上。

DDoS（分布式拒絕服務(wù)）攻擊是一種通過制造大量惡意流量打向目標(biāo)服務(wù)器，導(dǎo)致其資源耗盡、服務(wù)中斷或無法正常響應(yīng)用戶請求的網(wǎng)絡(luò)攻擊方式。

曾經(jīng)你以為，DDoS 沒什么可怕的，大不了攻擊時(shí)網(wǎng)站不提供服務(wù)，攻擊結(jié)束后再重啟服務(wù)不就好了？

但現(xiàn)實(shí)給了你一巴掌，沒想到云服務(wù)器平臺(tái)直接把你的服務(wù)器 封禁了 12 小時(shí) ！你脊背有些發(fā)涼了：攻擊者只需攻擊幾十秒，竟然就能讓你的服務(wù)器老老實(shí)實(shí)癱瘓半天。

你不甘心，決定運(yùn)用你學(xué)過的專業(yè)知識(shí)進(jìn)行反擊。

你給服務(wù)器程序增加了一個(gè)請求 IP 黑白名單，并且能夠?qū)γ總€(gè) IP 的請求頻率進(jìn)行統(tǒng)計(jì)，只要發(fā)現(xiàn)單個(gè) IP 請求過快過多，系統(tǒng)就會(huì)自動(dòng)把該 IP 拉黑，就不用處理該 IP 的請求了。

你信心滿滿，又開始了對未來的幻想。。

結(jié)果沒多久，你又收到了同樣的郵件，你的服務(wù)器 IP 又被封堵了！而且這次 封禁了 24 小時(shí) ！

壞了，你意識(shí)到自己犯了一個(gè)錯(cuò)誤。DDoS 攻擊根本不需要向你的應(yīng)用程序發(fā)送惡意請求，而是可以通過直接發(fā)送大量的網(wǎng)絡(luò)流量（比如 UDP 包、ICMP 請求等）到服務(wù)器，從而消耗服務(wù)器的帶寬和資源。也就是說，攻擊的目標(biāo)是直接影響服務(wù)器的網(wǎng)絡(luò)層和傳輸層，不需要經(jīng)過應(yīng)用層。

那一瞬間，你發(fā)如雨下，突然意識(shí)到，自己的后端技術(shù)學(xué)得再好，有什么用？DDoS 來了，自己還是沒辦法解決。

不過你不甘心，天將降大任于斯人也，必先苦其心志勞其筋骨，傷其服務(wù)器。。。你繼續(xù)搜索防御方案，發(fā)現(xiàn) Cloudflare 提供了免費(fèi)的、號稱不限量的 DDoS 防護(hù)服務(wù)！于是你滿懷希望地將它接入網(wǎng)站。

之后，有些用戶訪問網(wǎng)站時(shí)，就會(huì)看到這朵小黃云，減少了機(jī)器請求攻擊：

這下，你長呼了一口氣，讓攻擊者和 Cloudflare 斗智斗勇吧~

可沒想到，接下來的幾天，不斷有用戶反映：豬站長啊，你這網(wǎng)站打開速度也太慢了！

原來免費(fèi)版本的 Cloudflare 在國內(nèi)的節(jié)點(diǎn)數(shù)量有限，要從國外節(jié)點(diǎn)加載網(wǎng)站文件，導(dǎo)致國內(nèi)用戶訪問速度變慢了。

于是你在網(wǎng)上查了一些攻略，發(fā)現(xiàn)有一些開源倉庫確實(shí)可以找到國內(nèi)優(yōu)選的加速節(jié)點(diǎn)，但對網(wǎng)絡(luò)運(yùn)營商還是有一定限制，而且誰知道這些節(jié)點(diǎn)又能撐多久呢？

正當(dāng)你猶豫不決時(shí)，你又又又又又收到了服務(wù)器封堵的郵件！

你一臉懵逼：不是已經(jīng)接入 CloudFlare 防護(hù)了么？

等等，攻擊者已經(jīng)知道了服務(wù)器本身的 IP 地址，完全可以繞過 CloudFlare，直接攻擊到服務(wù)器啊！

這就好比你造了一面墻，但攻擊者直接繞過去：

你有些頭痛了，干脆一不做二不休，花點(diǎn)兒錢上更好的防護(hù)服務(wù)？于是你上網(wǎng)搜了一下大公司專業(yè)的高防服務(wù)器，發(fā)現(xiàn)價(jià)格竟然在幾萬 ~ 幾十萬不等！

你看了看自己 “薄如蟬翼” 的錢包，瞬間放棄了這個(gè)念頭。

你開始懷疑是不是自己選錯(cuò)了方向，或者該做的也許并不是去拼防護(hù)，而是去做點(diǎn)兒別的事情？

首先，你想到了切換一個(gè)平臺(tái)作為源站，只要保證服務(wù)器不會(huì)因?yàn)楣舳鴮?dǎo)致長時(shí)間封禁，這樣即使被攻擊了也能快速恢復(fù)。但是換到哪個(gè)平臺(tái)呢？這時(shí)你想到了你的好朋友魚皮，他曾經(jīng)也用了一些平臺(tái)，比如 Vercel。但你聽說，他當(dāng)時(shí)在 Vercel 上的網(wǎng)站因?yàn)楸还舻锰珖?yán)重，直接被平臺(tái)封禁了賬號，屬實(shí)是老倒霉蛋了。

通過調(diào)研，你發(fā)現(xiàn)可以使用云托管之類的容器部署平臺(tái)，可以將應(yīng)用程序部署到多個(gè)不同的節(jié)點(diǎn)上，被封禁的概率小了很多。

但治根不治本，你想了想，只要保護(hù)好自己的源站服務(wù)器 IP 地址不被泄露，是不是就可以了呢？

于是，你更換了個(gè)新的服務(wù)器 IP。這次，不直接將網(wǎng)站域名解析到服務(wù)器 IP，而是接入了一個(gè)大廠的 CDN 服務(wù)，將域名解析到 CDN 服務(wù)，再讓 CDN 服務(wù)從你的服務(wù)器獲取網(wǎng)站文件。這樣一來，攻擊者無法直接得到服務(wù)器的 IP 地址，只能看到 CDN 節(jié)點(diǎn)的 IP。

CDN 一般是按照流量計(jì)費(fèi)的，不出意外的話，價(jià)格比高防可低了太多。

那如果，出意外了呢？

沒過幾天，你發(fā)現(xiàn)自己的云服務(wù)賬戶欠費(fèi)了！

原來，攻擊者瘋狂請求你的 CDN 盜刷流量，產(chǎn)生了高額的流量費(fèi)用。

第一次使用 CDN 的你，根本沒有料到這點(diǎn)。后來，魚皮給你推薦了他寫過的一篇文章《我被刷幾萬元的血淚經(jīng)驗(yàn)。。。》? ，看完后你才意識(shí)到：亂用 CDN，錢包兩行淚啊！

這次，你給 CDN 配置了單 IP 訪問頻率限制、最大消耗流量的限制和自動(dòng)告警，比如 5 分鐘內(nèi)流量超過 5 G 時(shí)，就自動(dòng)停止 CDN 服務(wù)。

這樣一通操作之后，你又恢復(fù)了些信心。但沒想到，接下來等待你的，是一場無休止的攻擊循環(huán)。

攻擊者攻擊了你的 CDN => 觸發(fā) CDN 的用量封頂防護(hù)，自動(dòng)關(guān)閉服務(wù) => 你重新打開 CDN 服務(wù)、并且通過 CDN 配置拉黑了之前攻擊者的 IP => 攻擊者又使用新的 IP 攻擊 CDN。。。

你的選擇

你的故事還沒有結(jié)束，接下來，你會(huì)怎么做呢？

A. 怒砸巨款，買一年的 DDoS 安全防護(hù)
B. 關(guān)閉網(wǎng)站，不做了
C. 找專業(yè)人士求助
D. 找警察叔叔求助
E. 想辦法拉贊助

你的結(jié)局

A. 怒砸巨款，買一年的 DDoS 安全防護(hù)

你決定不再 “省小錢，吃大虧”，干脆砸?guī)兹f塊錢，買一個(gè)更加專業(yè)的防護(hù)服務(wù)。你的網(wǎng)站終于在大流量攻擊下依然穩(wěn)定運(yùn)行，用戶也穩(wěn)定增長，但一年后，你的網(wǎng)站只盈利了不到 1 萬，血虧！

B. 關(guān)閉網(wǎng)站，不做了

看到 DDoS 攻擊一波又一波地襲來，你雖然無數(shù)次嘗試過調(diào)整策略，但身心俱疲，最后你決定放棄，關(guān)掉這個(gè)網(wǎng)站。

雖然稍有不甘，但你意識(shí)到，想一個(gè)人做好、運(yùn)營好網(wǎng)站真的太不容易，你也更加理解魚皮曾經(jīng)的感受，選擇加入魚皮，幫他一起開發(fā) 編程導(dǎo)航。

C. 找專業(yè)人士求助

你意識(shí)到自己的網(wǎng)絡(luò)安全知識(shí)是缺斤少兩的，于是決定請一位專家來幫你做 DDOS 防護(hù)。專家跟你說了很多的專業(yè)名詞和理論，什么零信任架構(gòu)、IDS、IPS、態(tài)勢感知、流量清洗、蜜罐之類的，但最終并沒有給你實(shí)質(zhì)性的幫助，因?yàn)槟阋矝]有足夠的資金去實(shí)現(xiàn)那些理論。

D. 找警察叔叔求助

你認(rèn)為攻擊者已經(jīng)觸犯了法律，于是決定報(bào)警。但沒想到，由于你并沒有受到巨大的金額損失，警方表示對此案件的關(guān)注度較低。而且 DDoS 攻擊通常是由大量分布在全球各地的受害主機(jī)發(fā)起的，很難被追蹤和定位。

你很難過，但也意識(shí)到了，這才是現(xiàn)實(shí)。

E. 想辦法拉贊助

既然解決不了 DDoS 問題，何不去找找投資者或合作伙伴，拉個(gè) “大力支持” 的贊助？說不定他們會(huì)為你提供免費(fèi)的 DDOS 防護(hù)服務(wù)呢！

于是，你將網(wǎng)站開源，持續(xù)寫文章介紹自己的網(wǎng)站。最終被一位年輕的富二代看上，他不僅沒有給你提供贊助，還直接讓公司的程序員搬走了你的開源代碼，自己上線了個(gè)網(wǎng)站。

從此，網(wǎng)絡(luò)上總會(huì)看到一個(gè)郁郁寡歡的年輕人，嘴里念念有詞：“我抄你們碼！”

轉(zhuǎn)自https://www.cnblogs.com/yupi/p/18584126

該文章在 2024/12/4 9:14:38 編輯過

關(guān)鍵字查詢

網(wǎng)站

攻擊