網(wǎng)站剛上線,就被 DDoS 攻擊炸了!
當(dāng)前位置:點(diǎn)晴教程→知識管理交流
→『 技術(shù)文檔交流 』
今天是一個(gè)值得紀(jì)念的日子,你打開一罐可樂,看著自己剛剛上線的小網(wǎng)站,洋洋得意。 這是你第一次做的網(wǎng)站,上線之后,網(wǎng)站訪問量突飛猛進(jìn);沒過多久,你就拿到了千萬的風(fēng)投,迎娶了女神,走上了人生巔峰。。。 害,原來是喝醉了啊。。。你發(fā)現(xiàn)剛才那一切竟然都是你的幻想! 這時(shí)你突然收到了一封郵件:
你:???
雖然你之前就聽說過 DDoS 攻擊,但沒想到這么快就發(fā)生在了自己的頭上。 DDoS(分布式拒絕服務(wù))攻擊是一種通過制造大量惡意流量打向目標(biāo)服務(wù)器,導(dǎo)致其資源耗盡、服務(wù)中斷或無法正常響應(yīng)用戶請求的網(wǎng)絡(luò)攻擊方式。 曾經(jīng)你以為,DDoS 沒什么可怕的,大不了攻擊時(shí)網(wǎng)站不提供服務(wù),攻擊結(jié)束后再重啟服務(wù)不就好了? 但現(xiàn)實(shí)給了你一巴掌,沒想到云服務(wù)器平臺(tái)直接把你的服務(wù)器 封禁了 12 小時(shí) !你脊背有些發(fā)涼了:攻擊者只需攻擊幾十秒,竟然就能讓你的服務(wù)器老老實(shí)實(shí)癱瘓半天。 你不甘心,決定運(yùn)用你學(xué)過的專業(yè)知識進(jìn)行反擊。
你給服務(wù)器程序增加了一個(gè)請求 IP 黑白名單,并且能夠?qū)γ總€(gè) IP 的請求頻率進(jìn)行統(tǒng)計(jì),只要發(fā)現(xiàn)單個(gè) IP 請求過快過多,系統(tǒng)就會(huì)自動(dòng)把該 IP 拉黑,就不用處理該 IP 的請求了。
你信心滿滿,又開始了對未來的幻想。。 結(jié)果沒多久,你又收到了同樣的郵件,你的服務(wù)器 IP 又被封堵了!而且這次 封禁了 24 小時(shí) !
壞了,你意識到自己犯了一個(gè)錯(cuò)誤。DDoS 攻擊根本不需要向你的應(yīng)用程序發(fā)送惡意請求,而是可以通過直接發(fā)送大量的網(wǎng)絡(luò)流量(比如 UDP 包、ICMP 請求等)到服務(wù)器,從而消耗服務(wù)器的帶寬和資源。也就是說,攻擊的目標(biāo)是直接影響服務(wù)器的網(wǎng)絡(luò)層和傳輸層,不需要經(jīng)過應(yīng)用層。 那一瞬間,你發(fā)如雨下,突然意識到,自己的后端技術(shù)學(xué)得再好,有什么用?DDoS 來了,自己還是沒辦法解決。 不過你不甘心,天將降大任于斯人也,必先苦其心志勞其筋骨,傷其服務(wù)器。。。你繼續(xù)搜索防御方案,發(fā)現(xiàn) Cloudflare 提供了免費(fèi)的、號稱不限量的 DDoS 防護(hù)服務(wù)!于是你滿懷希望地將它接入網(wǎng)站。 之后,有些用戶訪問網(wǎng)站時(shí),就會(huì)看到這朵小黃云,減少了機(jī)器請求攻擊:
這下,你長呼了一口氣,讓攻擊者和 Cloudflare 斗智斗勇吧~
可沒想到,接下來的幾天,不斷有用戶反映:豬站長啊,你這網(wǎng)站打開速度也太慢了! 原來免費(fèi)版本的 Cloudflare 在國內(nèi)的節(jié)點(diǎn)數(shù)量有限,要從國外節(jié)點(diǎn)加載網(wǎng)站文件,導(dǎo)致國內(nèi)用戶訪問速度變慢了。 于是你在網(wǎng)上查了一些攻略,發(fā)現(xiàn)有一些開源倉庫確實(shí)可以找到國內(nèi)優(yōu)選的加速節(jié)點(diǎn),但對網(wǎng)絡(luò)運(yùn)營商還是有一定限制,而且誰知道這些節(jié)點(diǎn)又能撐多久呢?
正當(dāng)你猶豫不決時(shí),你又又又又又收到了服務(wù)器封堵的郵件! 你一臉懵逼:不是已經(jīng)接入 CloudFlare 防護(hù)了么? 等等,攻擊者已經(jīng)知道了服務(wù)器本身的 IP 地址,完全可以繞過 CloudFlare,直接攻擊到服務(wù)器啊! 這就好比你造了一面墻,但攻擊者直接繞過去:
你有些頭痛了,干脆一不做二不休,花點(diǎn)兒錢上更好的防護(hù)服務(wù)?于是你上網(wǎng)搜了一下大公司專業(yè)的高防服務(wù)器,發(fā)現(xiàn)價(jià)格竟然在幾萬 ~ 幾十萬不等!
你看了看自己 “薄如蟬翼” 的錢包,瞬間放棄了這個(gè)念頭。 你開始懷疑是不是自己選錯(cuò)了方向,或者該做的也許并不是去拼防護(hù),而是去做點(diǎn)兒別的事情? 首先,你想到了切換一個(gè)平臺(tái)作為源站,只要保證服務(wù)器不會(huì)因?yàn)楣舳鴮?dǎo)致長時(shí)間封禁,這樣即使被攻擊了也能快速恢復(fù)。但是換到哪個(gè)平臺(tái)呢?這時(shí)你想到了你的好朋友魚皮,他曾經(jīng)也用了一些平臺(tái),比如 Vercel。但你聽說,他當(dāng)時(shí)在 Vercel 上的網(wǎng)站因?yàn)楸还舻锰珖?yán)重,直接被平臺(tái)封禁了賬號,屬實(shí)是老倒霉蛋了。 通過調(diào)研,你發(fā)現(xiàn)可以使用云托管之類的容器部署平臺(tái),可以將應(yīng)用程序部署到多個(gè)不同的節(jié)點(diǎn)上,被封禁的概率小了很多。 但治根不治本,你想了想,只要保護(hù)好自己的源站服務(wù)器 IP 地址不被泄露,是不是就可以了呢? 于是,你更換了個(gè)新的服務(wù)器 IP。這次,不直接將網(wǎng)站域名解析到服務(wù)器 IP,而是接入了一個(gè)大廠的 CDN 服務(wù),將域名解析到 CDN 服務(wù),再讓 CDN 服務(wù)從你的服務(wù)器獲取網(wǎng)站文件。這樣一來,攻擊者無法直接得到服務(wù)器的 IP 地址,只能看到 CDN 節(jié)點(diǎn)的 IP。
CDN 一般是按照流量計(jì)費(fèi)的,不出意外的話,價(jià)格比高防可低了太多。 那如果,出意外了呢? 沒過幾天,你發(fā)現(xiàn)自己的云服務(wù)賬戶欠費(fèi)了!
原來,攻擊者瘋狂請求你的 CDN 盜刷流量,產(chǎn)生了高額的流量費(fèi)用。 第一次使用 CDN 的你,根本沒有料到這點(diǎn)。后來,魚皮給你推薦了他寫過的一篇文章 這次,你給 CDN 配置了單 IP 訪問頻率限制、最大消耗流量的限制和自動(dòng)告警,比如 5 分鐘內(nèi)流量超過 5 G 時(shí),就自動(dòng)停止 CDN 服務(wù)。
這樣一通操作之后,你又恢復(fù)了些信心。但沒想到,接下來等待你的,是一場無休止的攻擊循環(huán)。 攻擊者攻擊了你的 CDN => 觸發(fā) CDN 的用量封頂防護(hù),自動(dòng)關(guān)閉服務(wù) => 你重新打開 CDN 服務(wù)、并且通過 CDN 配置拉黑了之前攻擊者的 IP => 攻擊者又使用新的 IP 攻擊 CDN。。。
你的選擇你的故事還沒有結(jié)束,接下來,你會(huì)怎么做呢?
你的結(jié)局A. 怒砸巨款,買一年的 DDoS 安全防護(hù) 你決定不再 “省小錢,吃大虧”,干脆砸?guī)兹f塊錢,買一個(gè)更加專業(yè)的防護(hù)服務(wù)。你的網(wǎng)站終于在大流量攻擊下依然穩(wěn)定運(yùn)行,用戶也穩(wěn)定增長,但一年后,你的網(wǎng)站只盈利了不到 1 萬,血虧! B. 關(guān)閉網(wǎng)站,不做了 看到 DDoS 攻擊一波又一波地襲來,你雖然無數(shù)次嘗試過調(diào)整策略,但身心俱疲,最后你決定放棄,關(guān)掉這個(gè)網(wǎng)站。 雖然稍有不甘,但你意識到,想一個(gè)人做好、運(yùn)營好網(wǎng)站真的太不容易,你也更加理解魚皮曾經(jīng)的感受,選擇加入魚皮,幫他一起開發(fā) C. 找專業(yè)人士求助 你意識到自己的網(wǎng)絡(luò)安全知識是缺斤少兩的,于是決定請一位專家來幫你做 DDOS 防護(hù)。專家跟你說了很多的專業(yè)名詞和理論,什么零信任架構(gòu)、IDS、IPS、態(tài)勢感知、流量清洗、蜜罐之類的,但最終并沒有給你實(shí)質(zhì)性的幫助,因?yàn)槟阋矝]有足夠的資金去實(shí)現(xiàn)那些理論。 D. 找警察叔叔求助 你認(rèn)為攻擊者已經(jīng)觸犯了法律,于是決定報(bào)警。但沒想到,由于你并沒有受到巨大的金額損失,警方表示對此案件的關(guān)注度較低。而且 DDoS 攻擊通常是由大量分布在全球各地的受害主機(jī)發(fā)起的,很難被追蹤和定位。 你很難過,但也意識到了,這才是現(xiàn)實(shí)。 E. 想辦法拉贊助 既然解決不了 DDoS 問題,何不去找找投資者或合作伙伴,拉個(gè) “大力支持” 的贊助?說不定他們會(huì)為你提供免費(fèi)的 DDOS 防護(hù)服務(wù)呢! 于是,你將網(wǎng)站開源,持續(xù)寫文章介紹自己的網(wǎng)站。最終被一位年輕的富二代看上,他不僅沒有給你提供贊助,還直接讓公司的程序員搬走了你的開源代碼,自己上線了個(gè)網(wǎng)站。 從此,網(wǎng)絡(luò)上總會(huì)看到一個(gè)郁郁寡歡的年輕人,嘴里念念有詞:“我抄你們碼!” 轉(zhuǎn)自https://www.cnblogs.com/yupi/p/18584126 該文章在 2024/12/4 9:14:38 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
