網(wǎng)站剛上線,就被 DDoS 攻擊炸了!
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
今天是一個值得紀念的日子,你打開一罐可樂,看著自己剛剛上線的小網(wǎng)站,洋洋得意。 這是你第一次做的網(wǎng)站,上線之后,網(wǎng)站訪問量突飛猛進;沒過多久,你就拿到了千萬的風投,迎娶了女神,走上了人生巔峰。。。 害,原來是喝醉了啊。。。你發(fā)現(xiàn)剛才那一切竟然都是你的幻想! 這時你突然收到了一封郵件:
你:???
雖然你之前就聽說過 DDoS 攻擊,但沒想到這么快就發(fā)生在了自己的頭上。 DDoS(分布式拒絕服務)攻擊是一種通過制造大量惡意流量打向目標服務器,導致其資源耗盡、服務中斷或無法正常響應用戶請求的網(wǎng)絡攻擊方式。 曾經(jīng)你以為,DDoS 沒什么可怕的,大不了攻擊時網(wǎng)站不提供服務,攻擊結束后再重啟服務不就好了? 但現(xiàn)實給了你一巴掌,沒想到云服務器平臺直接把你的服務器 封禁了 12 小時 !你脊背有些發(fā)涼了:攻擊者只需攻擊幾十秒,竟然就能讓你的服務器老老實實癱瘓半天。 你不甘心,決定運用你學過的專業(yè)知識進行反擊。
你給服務器程序增加了一個請求 IP 黑白名單,并且能夠對每個 IP 的請求頻率進行統(tǒng)計,只要發(fā)現(xiàn)單個 IP 請求過快過多,系統(tǒng)就會自動把該 IP 拉黑,就不用處理該 IP 的請求了。
你信心滿滿,又開始了對未來的幻想。。 結果沒多久,你又收到了同樣的郵件,你的服務器 IP 又被封堵了!而且這次 封禁了 24 小時 !
壞了,你意識到自己犯了一個錯誤。DDoS 攻擊根本不需要向你的應用程序發(fā)送惡意請求,而是可以通過直接發(fā)送大量的網(wǎng)絡流量(比如 UDP 包、ICMP 請求等)到服務器,從而消耗服務器的帶寬和資源。也就是說,攻擊的目標是直接影響服務器的網(wǎng)絡層和傳輸層,不需要經(jīng)過應用層。 那一瞬間,你發(fā)如雨下,突然意識到,自己的后端技術學得再好,有什么用?DDoS 來了,自己還是沒辦法解決。 不過你不甘心,天將降大任于斯人也,必先苦其心志勞其筋骨,傷其服務器。。。你繼續(xù)搜索防御方案,發(fā)現(xiàn) Cloudflare 提供了免費的、號稱不限量的 DDoS 防護服務!于是你滿懷希望地將它接入網(wǎng)站。 之后,有些用戶訪問網(wǎng)站時,就會看到這朵小黃云,減少了機器請求攻擊:
這下,你長呼了一口氣,讓攻擊者和 Cloudflare 斗智斗勇吧~
可沒想到,接下來的幾天,不斷有用戶反映:豬站長啊,你這網(wǎng)站打開速度也太慢了! 原來免費版本的 Cloudflare 在國內(nèi)的節(jié)點數(shù)量有限,要從國外節(jié)點加載網(wǎng)站文件,導致國內(nèi)用戶訪問速度變慢了。 于是你在網(wǎng)上查了一些攻略,發(fā)現(xiàn)有一些開源倉庫確實可以找到國內(nèi)優(yōu)選的加速節(jié)點,但對網(wǎng)絡運營商還是有一定限制,而且誰知道這些節(jié)點又能撐多久呢?
正當你猶豫不決時,你又又又又又收到了服務器封堵的郵件! 你一臉懵逼:不是已經(jīng)接入 CloudFlare 防護了么? 等等,攻擊者已經(jīng)知道了服務器本身的 IP 地址,完全可以繞過 CloudFlare,直接攻擊到服務器啊! 這就好比你造了一面墻,但攻擊者直接繞過去:
你有些頭痛了,干脆一不做二不休,花點兒錢上更好的防護服務?于是你上網(wǎng)搜了一下大公司專業(yè)的高防服務器,發(fā)現(xiàn)價格竟然在幾萬 ~ 幾十萬不等!
你看了看自己 “薄如蟬翼” 的錢包,瞬間放棄了這個念頭。 你開始懷疑是不是自己選錯了方向,或者該做的也許并不是去拼防護,而是去做點兒別的事情? 首先,你想到了切換一個平臺作為源站,只要保證服務器不會因為攻擊而導致長時間封禁,這樣即使被攻擊了也能快速恢復。但是換到哪個平臺呢?這時你想到了你的好朋友魚皮,他曾經(jīng)也用了一些平臺,比如 Vercel。但你聽說,他當時在 Vercel 上的網(wǎng)站因為被攻擊得太嚴重,直接被平臺封禁了賬號,屬實是老倒霉蛋了。 通過調(diào)研,你發(fā)現(xiàn)可以使用云托管之類的容器部署平臺,可以將應用程序部署到多個不同的節(jié)點上,被封禁的概率小了很多。 但治根不治本,你想了想,只要保護好自己的源站服務器 IP 地址不被泄露,是不是就可以了呢? 于是,你更換了個新的服務器 IP。這次,不直接將網(wǎng)站域名解析到服務器 IP,而是接入了一個大廠的 CDN 服務,將域名解析到 CDN 服務,再讓 CDN 服務從你的服務器獲取網(wǎng)站文件。這樣一來,攻擊者無法直接得到服務器的 IP 地址,只能看到 CDN 節(jié)點的 IP。
CDN 一般是按照流量計費的,不出意外的話,價格比高防可低了太多。 那如果,出意外了呢? 沒過幾天,你發(fā)現(xiàn)自己的云服務賬戶欠費了!
原來,攻擊者瘋狂請求你的 CDN 盜刷流量,產(chǎn)生了高額的流量費用。 第一次使用 CDN 的你,根本沒有料到這點。后來,魚皮給你推薦了他寫過的一篇文章 這次,你給 CDN 配置了單 IP 訪問頻率限制、最大消耗流量的限制和自動告警,比如 5 分鐘內(nèi)流量超過 5 G 時,就自動停止 CDN 服務。
這樣一通操作之后,你又恢復了些信心。但沒想到,接下來等待你的,是一場無休止的攻擊循環(huán)。 攻擊者攻擊了你的 CDN => 觸發(fā) CDN 的用量封頂防護,自動關閉服務 => 你重新打開 CDN 服務、并且通過 CDN 配置拉黑了之前攻擊者的 IP => 攻擊者又使用新的 IP 攻擊 CDN。。。
你的選擇你的故事還沒有結束,接下來,你會怎么做呢?
你的結局A. 怒砸巨款,買一年的 DDoS 安全防護 你決定不再 “省小錢,吃大虧”,干脆砸?guī)兹f塊錢,買一個更加專業(yè)的防護服務。你的網(wǎng)站終于在大流量攻擊下依然穩(wěn)定運行,用戶也穩(wěn)定增長,但一年后,你的網(wǎng)站只盈利了不到 1 萬,血虧! B. 關閉網(wǎng)站,不做了 看到 DDoS 攻擊一波又一波地襲來,你雖然無數(shù)次嘗試過調(diào)整策略,但身心俱疲,最后你決定放棄,關掉這個網(wǎng)站。 雖然稍有不甘,但你意識到,想一個人做好、運營好網(wǎng)站真的太不容易,你也更加理解魚皮曾經(jīng)的感受,選擇加入魚皮,幫他一起開發(fā) C. 找專業(yè)人士求助 你意識到自己的網(wǎng)絡安全知識是缺斤少兩的,于是決定請一位專家來幫你做 DDOS 防護。專家跟你說了很多的專業(yè)名詞和理論,什么零信任架構、IDS、IPS、態(tài)勢感知、流量清洗、蜜罐之類的,但最終并沒有給你實質(zhì)性的幫助,因為你也沒有足夠的資金去實現(xiàn)那些理論。 D. 找警察叔叔求助 你認為攻擊者已經(jīng)觸犯了法律,于是決定報警。但沒想到,由于你并沒有受到巨大的金額損失,警方表示對此案件的關注度較低。而且 DDoS 攻擊通常是由大量分布在全球各地的受害主機發(fā)起的,很難被追蹤和定位。 你很難過,但也意識到了,這才是現(xiàn)實。 E. 想辦法拉贊助 既然解決不了 DDoS 問題,何不去找找投資者或合作伙伴,拉個 “大力支持” 的贊助?說不定他們會為你提供免費的 DDOS 防護服務呢! 于是,你將網(wǎng)站開源,持續(xù)寫文章介紹自己的網(wǎng)站。最終被一位年輕的富二代看上,他不僅沒有給你提供贊助,還直接讓公司的程序員搬走了你的開源代碼,自己上線了個網(wǎng)站。 從此,網(wǎng)絡上總會看到一個郁郁寡歡的年輕人,嘴里念念有詞:“我抄你們碼!” 轉自https://www.cnblogs.com/yupi/p/18584126 該文章在 2024/12/4 9:14:38 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
