文武双全个人网站遭遇严重CC攻击之总结

Posted by

文武双全个人网站近期遭受了一轮严重的CC攻击,攻击开始自2014年12月21日13时,到2014年12月25日凌晨1点结束。下面说说在这轮攻击中,一些有趣的事情。

此次CC攻击的症状和攻击方式解析

攻击方式解析:黑客是通过大量代理及肉鸡,伪装成百度蜘蛛,不停的访问文武双全个人网站(www.jicker.cn)的首页。把带宽跑满,造成文武双全个人网站无法打开。

此轮CC攻击的特征:

1、攻击对象:为文武双全个人网站的首页,即只针对网站域名(www.jicker.cn)发动DDOS类攻击;

2、攻击IP来源为:大量的代理服务器、大量IDC(包括阿里云)被黑的服务器、国内外的肉鸡、被黑的网站等;

3、攻击地址伪装成百度蜘蛛:通过nginx生成的日志,可以清楚地看到这些非法请求被伪装成百度蜘蛛;

4,、服务器仅仅是带宽跑满,CPU、内存、占用极低;

阿里云对CC攻击防御很弱,可以说基本无效

很多人都知道,文武双全个人网站使用的是阿里云主机。网站自带阿里云的云盾,把域名加入WAF后,能够有效的防御一些DDOS攻击和MYSQL注入攻击等。但是阿里云对CC攻击的防御很弱,可以说基本是无效的。而且云盾自身就是个大坑,给文武双全造成了很大的麻烦。

阿里云的云盾导致安全狗和Apache的防DDOS的modules全部失效

云盾实际上就是一个大的代理服务器,所有访客的请求,都会先到达云盾,再解析到云盾下面的网站。文武双全使用的是WDCP面板的LNAMP环境,nginx做前端,apache做后端。也就是说我的apache实际上是经过两层代理,才拿到客户的访问请求。

这中间就有个大坑,也可能是我自己没配置好吧

假设一个客户的IP地址是:114.114.114.114,那么经过云盾的转发后,客户的ip地址全部会变成云盾的ip地址。云盾有一个ip段,大概是42.121.43.1-42.121.43.255。这个地址是会变的,所以黑客就无法拿到你的真实ip地址。通过ip地址攻击你网站的方法就行不通了!但是这样就造成一个严重的后果就是,后端的web服务拿不到云盾的真实ip。

文武双全碰到的问题是,经过云盾之后,前端的nginx可以拿到攻击者的真实ip地址,但是apache死都拿不到。阿里云官方公布了单独的nginx环境和单独的apache环境下,拿到通过代理访问者真实ip的方法。但是唯独没有nginx+apache环境下,拿到通过代理访问的访客真实ip的方法。

文武双全奋战通宵,试了各种方法,apache都无法拿到访客的真实ip。国内知名安全软件安全狗的linux版本,主要就是通过apache拿到访客真实ip后,对这些ip进行封禁来对抗CC攻击。

在云盾下,lanmp环境无法拿到代理访客的真实ip,就造成apache的防DDOS的Modules失效,而且安全狗也失效了。

阿里云环境下,安全狗造成云主机的CPU爆满

后来文武双全去掉了文武双全个人网站的云盾防护,安全狗已经apache的防DDOS的Modules都可以正常工作了。但是安全狗又带来另外一个问题,那就是虽然攻击者能够被正常识别,可以拿到这些真实ip地址,但是CPU确跑到100%了,导致服务器内存溢出而死机了。连putty都等不进去,只能通过VNC连接。比被CC攻击还恐怖,而且查询了安全狗官方论坛,发现好多例这样的情况。

文武双全个人预计,可能是因为文武双全的阿里云主机的CPU只有一核或者说阿里云的CPU太垃圾导致的。我们公司在IDC机房托管的独立服务器,同样安装了安全狗吗,就没有这个问题。

无奈之下,只得卸载安全狗。

WDCP帮了不少忙,感叹其设计理念的优异

此次CC攻击只针对www.jicker.cn的首页,于是只要文武双全在WDCP的后台关闭www.jicker.cn网站或者关闭httpd进程,服务器就可以正常访问。putty可以登录,wdcp的后台也可以登录,这里不得不感叹WDCP这种设计思路是非常牛逼 的。远远不像某些人说的那么垃圾,你说别人垃圾可是你自己又做不出来比别人更好的东西,真他妈垃圾。

通过这次被CC攻击,我又发现了一些WDCP好用的地方,这里跟大家分享一下:

1、WDCP的后台用了单独的一个httpd进程:这样你关闭了web的httpd进城以后,wdcp的后台照样可以进。黑客就算把你服务器上的单独一个网站打卦了,丝毫不影响你WDCP系统的正常访问。有人抨击WDCP的这个httpd进程占用资源,你真想节省这点资源,完全可以在不用的时候关掉嘛。

2、后台提供详细的总连接数并且可以按照单IP连接数进行排序:WDCP后台提供的数据并不多,但是每一项都特别有用。在系统管理内有一项连接数管理,可以提供服务器的总连接数,并且按照单IP的连接数进行排序。

这样一个非常神奇的事情发生了!在遭受CC攻击后,文武双全关闭了文武双全个人网站,但是攻击在继续。攻击者的真实IP地址,全部按照攻击次数出现在WDCP后台。而且WDCP后台还可以直接控制iptables防火墙,于是文武双全就把这些攻击者的IP地址,一个一个手动全部加到iptables中禁止访问。

12月24日,做了这个操作。12月25日凌晨,攻击停止了。虽然不知道是不是这个方法起了作用,但是这个思路我觉得可以非常好。对于文武双全这样的网络安全菜鸟来说,已经是没有办法中的办法了。

nginx和apache的防DDOS的Mod不太好用

nginx和apache都有很好的防CC攻击和防ddos的Mod,但是文武双全实在是不太会用。要么规则太严,把自己的IP地址封了。要么就是规则太松,CC攻击把服务器打卦了。感觉还是把这些攻击者的IP地址加到iptables中,永久禁止访问来的可靠。

当然,我可是把每一个ip地址都放到搜索引擎和IP地址库中查询了一遍,才加到iptables中去的。尽量将误删率降低到最低,被封禁的IP地址99%都是代理服务器的ip以及IDC的ip和国外的ip地址。

百度真是个垃圾

当你被攻击后,希望从百度里搜到一点有用的办法,你发现百度真的帮不上你什么忙。百度里搜到的资料,大量是陈旧的过期的,无效的资料。一点忙都帮不上,还耽误你时间和精力。百度赋予老的资料比较高的权重,是他的死穴。百度已经是一个完全为商业而生的搜索引擎,而不是一个国家技术和实力的象征了。

说简单点,百度就是个垃圾。

感谢攻击者又促进了我学习

这一次被攻击,我不像以前那样素手无策了。虽然问题最终不是我解决的,但是我在不停的常识各种方法。四处找人教我怎么用nginx和apache防CC攻击、防DDOS攻击。文武双全个人网站只是个纯原创的个人网站,他不是个商业网站。所以被攻击了我一点都不难过,反而很感谢攻击者,又给了极大的动力去拼命学习。

不过我依然很讨厌这种躲在阴暗的角落,对你发动攻击的人。虽然很感谢你让我又进步了并且学习到很多知识,依然要诅咒你断子绝孙、全家死光、孤独一生、病魔缠身、死无全尸。尼玛,语文不好,骂人的成语只有这么多了。

文武双全决定买书回来好好学习了

被人干掉,是我技术太弱了。我决定不靠百度、不靠网友、不靠QQ群,自己买书回来好好学习学习linux、nginx、apache等,加强自己在网站安全与维护方面的知识。多学习,才能变得强大,才能保护自己的个人网站。

臃肿的wordpress抗攻击的能力真的很差

wordpress抗DDOS类攻击的能力也实在是够差,文武双全个人网站这三年,有过多次被人攻击而网站挂掉的经历。从网站安全的角度来看,我丝毫不觉得wordpress比dedecms好多少。臃肿的wordpress,在文武双全遭遇的这种CC攻击面前,显得是那么的脆弱和无解。我已经用缓存插件,将个人网站搞成了纯静态页面。但是依然那么的无力,跟dedecms生成的纯静态网站感觉差距好大。

文武双全的经验教训

通过这次被人攻击,更加深入了我对网站建设和网站安全的认识。以下是我的个人总结:

1,以后做网站不再用wordpress,改用cms生成纯静态网站,坚决抵制不适合中国国情的泼来品;
2,加强学习,多学习有关网站安全方面的知识;
3,加强防护意识,多尝试高端防护技术,比如说通过负载均衡提高抗攻击能力等;
4,加强对网站并发能力的测试,以前自己在这方面的能力几乎是零;
5,努力学习一门脚本语言,比如我正在恶补的javascript和node.js等;
6,自己也要学习一些攻击手段,知己知彼方能立于不败;

最后,我还是要感谢这位攻击者。你真的对刺激我学习,起了很大的作用。这可能就是硬币的另外一面吧!

8 comments

  1. 我几年用下来,软件防CC是没用的,没任何效果。我们机房有硬件防火墙都只能防一时,还要时不时的调整策略。准备试下云防护+硬防

  2. 学习了,最近我的服务器也遭受了攻击,安装了安全钩但是好像并没有完全防御住。。。

  3. 楼主还是很有研究的,确实度娘的多数都是陈旧的

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据