DDoS

　　这篇文章本来是写我怎么配置CDN的，结果可能暴露了配置信息，网站昨晚遭到了DDoS。安全起见还是把原文给删了。

发觉

　　事情是这样的，昨晚我登网站后台，结果发现CDN返回“connection refused”，我第一反应是CDN的ip被服务器封了。一看CC防护，果然有几个封锁ip，我还以为是错误拦截CDN服务器，顺手把CC防护给关了。
　　但是关闭之后还是没有用，依旧是refused，（还好我没有直接连源站），这时候我依然觉得是CDN的问题，去看了一下CDN配置，没问题啊？然后不知道为什么打开了CDN流量页面，然后就发现网站正在被DDoS。
　　下面这张是今天的流量图，图片右侧8点左右的流量是正常流量，左边的流量很明显就是DDoS。为了安全起见我还是不放真实的流量大小，大家比较一下，也就图个乐吧。

　　然后这个流量来源也很可疑，基本可以确定是DDoS了。

处理

　　当时是凌晨1点多（上面那一段的操作大概花了一个小时），考虑到本来网站的访问数量就很少，而且还是晚上，大晚上的我也没力气折腾，直接就吧域名解析给删了，所以上面那张图1：20之后流量就变为0。不是攻击者停止了攻击，而是我放弃了网站。
　　删了域名解析睡了一觉起来之后，我重新检查了一下网站，攻击者已经没有再攻击，我也就又把域名解析给添上去，现在网站还能正常访问。

溯源

　　DDoS溯源这事本来很麻烦，我后台有一堆封锁ip，应该是国外ip，但是知道ip也没啥用，我的能力还不够用ip找到人，最多就是加入黑名单。
　　不过我的突破口是网站访问统计，我的网站访客本身就很少，而凌晨访客更是没有，但是在被DDoS前几分钟刚好有个浏览了CDN那篇文章的访客，是不是很巧？当然，如果认错了，那我很抱歉。


　　ip对应的地理位置很大概率不准确，当个笑话看就行。
　　这个访客的来源应该是南博，所以我也把南博发的推文都删了。ip我没有放出来，毕竟是国内运营商的动态ip，而且我也不能肯定就是这个人干的。
　　至此，溯源毫无希望，但是就算是溯源了我也无计可施。希望攻击者玩够了吧。

作者： illlights