过活

DDoS

by illlights, 2021-08-15


  这篇文章本来是写我怎么配置CDN的,结果可能暴露了配置信息,网站昨晚遭到了DDoS。安全起见还是把原文给删了。

发觉

  事情是这样的,昨晚我登网站后台,结果发现CDN返回“connection refused”,我第一反应是CDN的ip被服务器封了。一看CC防护,果然有几个封锁ip,我还以为是错误拦截CDN服务器,顺手把CC防护给关了。
  但是关闭之后还是没有用,依旧是refused,(还好我没有直接连源站),这时候我依然觉得是CDN的问题,去看了一下CDN配置,没问题啊?然后不知道为什么打开了CDN流量页面,然后就发现网站正在被DDoS。
  下面这张是今天的流量图,图片右侧8点左右的流量是正常流量,左边的流量很明显就是DDoS。为了安全起见我还是不放真实的流量大小,大家比较一下,也就图个乐吧。
CDN流量
  然后这个流量来源也很可疑,基本可以确定是DDoS了。
CDN流量来源

处理

  当时是凌晨1点多(上面那一段的操作大概花了一个小时),考虑到本来网站的访问数量就很少,而且还是晚上,大晚上的我也没力气折腾,直接就吧域名解析给删了,所以上面那张图1:20之后流量就变为0。不是攻击者停止了攻击,而是我放弃了网站。
  删了域名解析睡了一觉起来之后,我重新检查了一下网站,攻击者已经没有再攻击,我也就又把域名解析给添上去,现在网站还能正常访问。

溯源

  DDoS溯源这事本来很麻烦,我后台有一堆封锁ip,应该是国外ip,但是知道ip也没啥用,我的能力还不够用ip找到人,最多就是加入黑名单。
  不过我的突破口是网站访问统计,我的网站访客本身就很少,而凌晨访客更是没有,但是在被DDoS前几分钟刚好有个浏览了CDN那篇文章的访客,是不是很巧?当然,如果认错了,那我很抱歉。
访客记录
ip查询
  ip对应的地理位置很大概率不准确,当个笑话看就行。
  这个访客的来源应该是南博,所以我也把南博发的推文都删了。ip我没有放出来,毕竟是国内运营商的动态ip,而且我也不能肯定就是这个人干的。
  至此,溯源毫无希望,但是就算是溯源了我也无计可施。希望攻击者玩够了吧。

作者: illlights

2022 © typecho & illlights 42 ms