记录长达10天的DDoS攻击-从攻防到跑路,做网站的难谁能懂？

说真的，自从网站备案以来（包括icp备案和网安备案）都规规矩矩地完成后，我还天真的以为，应该不会有人打我了罢，其实呢，就是放屁，人家按咋搞咋搞，你要是没钱，不防好，就完蛋了

其实在telegram是有专业团队提供DDoS的，比如说，无视cf五秒盾，无视备案等等，在这之前我的确不知道的，后来我仔细了解了一下，确实是有钱能使鬼推磨，像我这种可怜兮兮的只配在角落夹缝生存的破站，能撑一两年真的very nice。其实呢，三月就是本站建站一周年，也算是折折腾腾存活了一年吧。

东扯西扯又扯了这么些乱七八糟的玩意，我们进入正题，以下均为本人真实经历，绝非杜撰，希望能对各位有所用处

1.噩梦开始

2020年2月3日下午2点，年初三啊，我正在饮茶啊，广东人喝茶啊，腾讯云发了条信息，说DDoS攻击导致ip拥堵，然后就被黑洞了。我仔细看了看，

	
DDoS攻击导致IP封堵通知
尊敬的腾讯云用户，您好！

您的腾讯云账号（账号 ID：，昵称：）中所属机器（124.222.28.250）遭受大流量DDoS攻击，并超过了腾讯云赠送的防护阈值限制，已被封堵，详情如下：

封堵时间：2022-02-03 14:34:22，

预计解封时间：2022-02-03 16:34:22，

攻击流量峰值：2163Mbps。


如需了解攻击详情，请登录 DDoS 防护（大禹）控制台，单击对应防护实例ID进入防护报表进行查看，也可自助解封。在解封后如果仍遭受持续攻击，依然可能会再次被封堵。


推荐您开通高防包并将防护能力提升到攻击峰值以上，即可解封并全方面升级防护能力（当前暂只支持北京，上海，广州地区的IP，其他地区请提交工单进行处理），以减少DDoS攻击对您业务的影响。

2.煎熬

哎呀我去，两个G的流量，花了不少钱吧，我第一感觉应该是小学生或者脚本小子作祟，没放在心上，想着先等他两小时解封了再说，到时候就会阉了，怎么可能有人看上我这破站呢

我两台服务器同时被打，比较奇怪，因为106那台没用过，但也没放在心上

然后我就接着吃吃喝喝，贼舒服

攻击两分钟就停了，我感觉没什么

下午四点解封了，我也没留意，没想到六点又来打了

照样的，黑洞两小时，我也无奈。

可是他喵的晚上11点又来了，我开始着急了，这种频率相当于把站打的半死不活了

2月4日，攻击第二天，网站一直在黑洞与正常运行之间来回摩擦，单是这天收到的邮件就一大堆了

因为我之前网站裸奔，就是域名直接解析到源ip，所以现在人家找到ip，直接开打，那我把服务器退款，销号，又买了一台新的服务器

这时候已经换了台新的服务器，没半天，又来打了(打的是那台注销的服务器)

这时候我就得上cdn了，我赶紧搞上一个腾讯cdn，然后就这样了。。。

300Mbps我是真的撑不了，太大了，这一夜下去我房子就没了

后来我把国外ip屏蔽了，使用referer防盗链，收效甚微，我只得再去找一个cdn，也就是又拍云，准备套娃，其结果就是：（已屏蔽国外ip）

看了看收费，我去，HTTPS请求也收钱？？？

再直观一点，这是一小时收费的量：

我感觉非常上头，也只能弃用

又找了阿里云啊，七牛云以及一堆杂七杂八的cdn，用处不大，人家照打，钱照花，非常心疼

最后，只能求助于大名鼎鼎的cloudflare，cf被无数站长奉为真理，只因他强大的抗攻击力。当然，在这之前，注重网站速度的我是绝对不会搞这一出的，事到如今，死马当活马医，准备去第三方接一个cname，没想到竟然不支持了，气得吐血，只能把nameserver服务器给cf了

可是：我发现cf似乎并没有很大的效果，许多请求都没有拦截下来，服务器还是被打死了（我对每个请求都开启了captcha质询，就是那个连真人都挡的验证码）

我把这段经历发上b站，有许多喷子说是我不会配置，或者已经把源ip漏出去了。其实这时候我的源ip保护得很好，已经把什么censys这种促狭玩意加黑名单了。配置的话我都玩那么久了，全站under attack加上UA不等于1时开启质询，完全没问题，我现在使用的京东云星盾也是这样配置的，效果非常好啊，以至于我每五分钟就要填一次验证码。

直到最近，我才想出了大概：因为当时我刚把nameserver从阿里云改到cloudflare，众所周知nameserver全球生效时间为72小时，攻击者的肉鸡遍布全球，有些国家的DNS缓存更新没有那么快，DNS解析仍是回到腾讯云cdn的记录，所以导致了攻击仍然能回到腾讯云cdn。但是我也怀疑这次的攻击确实有穿盾，毕竟我等了两天，nameserver基本更新完了。cloudflare的缓存率基本只有30-40%。这时候我确实没有办法了，再加上网上喷子叫我关站？气得吐血，确实关站了几天（我原本是想关站半年的，连360的闭站保护我都申请了）

3.曙光

无意中看到京东云星盾效果比较好，又忍痛开了一年的星盾

其实就是cloudflare的分销商，俗称套个壳儿，无论是防火墙配置，还是规则，不能说一样，基本相似，但是我仔细想了一下，cloudflare的pro计划20USD/per month，即240美刀一年，就比星盾便宜一点，但我宁愿用星盾，因为服务器在国内，星盾节点在国内，我何必又用付费的国外节点呢？直到这时，我也还是兼并考虑访问速度和能否访问，我也想做到精益求精

后来写了一些规则，挡了一次攻击，200多w请求，攻击的那边就好像淡定起来了，开始用censys扫源站ip，但我屏蔽了，非常抱歉，现在已经基本正常(一下找不到截图了)

正常的访问，舒服多了

4.总结一下

这次攻击的花样非常多，DD，CC，变UA，一大堆肉鸡（国内肉鸡比国外的都多，见下图）

并且我觉得非常有意思的一点，攻击者先扫描一遍uploads里的所有文件（wordpress存放图片的文件夹）然后专挑几MB的图来打，我也直呼内行。最离谱的一点，至今我也在想他的攻击如何突破cloudflare的盾？这也是我百思不得其解的一点。（telegram有提供穿盾攻击，但我没用过）

对我的损失不言而喻，换了几台腾讯，阿里的服务器（因为我开始以为是腾讯有内幕，两台服务器几乎同时被打），用了一大堆的cdn，并且还是在大过年的时候出这么一摊子事，无论是金钱还是精力，我都感觉非常空虚。

对于网站而言，每个站长都不希望自己的网站宕机。不仅是影响收录和排名，也会导致网站的信誉和稳定性在用户心里大幅下跌。这次收录掉了一大堆，本来想着刚备案收录会不会快点呢。

后来我也思考过，到底是为什么，才让攻击者下血本来攻击我这破站？一个小博客，我实在想不出有什么好打的。后来发现应该是我的免费二级域名分发触碰到利益，那我也没什么好说的了

至此，这次攻击可能告一段落了。虽然我也不知道是哪位老兄给我的站来了一炮，但是呢，常在河边走，哪有不湿鞋。我现在的任务就是把我的站做好，稳定下来，我就满足了。经过这次，我也要给各位一些提醒：

（1）必须套cdn，不然ip必露，查询网站ip有没有泄露请去大名鼎鼎的censys

（2）不要想着报警，一切由你解决

（3）网站的防护永远不嫌多，即使会给你造成一些不便，但比起大麻烦，各位心里可以衡量

祝各位站长的网站稳定运行百年！

祝各位站长的网站稳定运行百年！

祝各位站长的网站稳定运行百年！

P.S这是一张攻击者打得最猛的图。。。仅供一乐