我的站最近被攻击,防护经验几乎没有,正在边学边和攻击者斗争。
现在是域名挂 cf ,服务器只允许 cf 的 ip 入站,这样源站即使被攻击者发现 IP 地址,是否也没办法直接攻击我的源服务器了?因为防火墙把其他 IP 挡掉了。
免费版的 CF 可以挡住一些攻击,但是如果攻击者加强攻势,CF5 秒盾依然挡不住。这时候升级付费版是否有用?
看了阮一峰的 ddos 文章,还有搞镜像服务器的套路来防; ddos 的攻击成本是多少?今天半天打我的流量看了一下,有几百 G ,难道不用钱吗?因为我的站并没有收益,所以我暂时没花钱来做防护。
1
wheat0r 84 天前
和防护的成本比起来,ddos 简直是免费的
|
2
ssh 84 天前
ddos 的攻击能把你的服务器性能榨干,软件防火墙在 DDOS 面前不值一提
|
3
People11 84 天前 via Android
第二段反了,就算只允许 CF IP 进站,别人打你你也会被服务商黑洞,但这样做能防止扫资产的网站扫到你源站 IP
CF 免费版遇到 CC 直接开交互质询,五秒盾随便绕,开交互质询挡住之后看日志找特征写 WAF 针对性防御 DDoS 攻击成本几乎没有,某地方找个机器人天天签到都能打上百 G ,找专业的给不到一千能打上 T |
4
littlewing 84 天前
@ssh 云主机的防火墙根本就不在机器上,不会对机器有影响
|
5
ssh 84 天前
@littlewing 那个聊胜于无吧,除非加钱上高防。归根结底还是用钱硬抗
|
6
xmumiffy 84 天前
@littlewing 云主机的防火墙是有限量的,超了会被黑洞
|
7
sunchuo 84 天前
直接不暴露源 IP 。扫都扫不出的那种,比如源站用其他域名,非白名单 ip 不可 tcp 连接之类的。
服务不重要的话,遇到攻击直接间歇性佛系自闭。 重要的服务。隐藏的真实的源 => 隐藏的 cdn 源(节点多一些) => 提供服务的 cdn (节点多多的)。节点被攻击就直接黑洞。ttl 搞短点,让 dns+cdn 去自动平衡流量。不知道这个思路行不行。dns 的东西忘完了,不确定。 他搞分布式攻击,你就搞分布式服务。被攻击的节点直接自闭,也产生不了多少流量费用。🤣 |
8
mahaonan93 84 天前
说一个简单粗暴的做法,关闭所有 udp 端口
|
9
gbadge 84 天前
你能想到的 CF 早都想到了
|
10
zhangk23 84 天前
我是游戏私服就我和朋友几个人用,所以是开 ip 白名单 = =
|
11
JensenQian 84 天前
加钱呗
隔壁 mjj 的方案就是 ovh 杜甫+cf ,关闭 udp ,dd 的话一般 ovh 死不了,cc 的话 cf 那边规则得设置下 不过这种对国内方向访问很差,你要国内速度好的话话用只能上 cera 的,不过很贵啊 |
12
lysShub 84 天前
关 udp 、ip 白名单那些有什么用?攻击的流量把带宽占满照样不可用
|
13
gaobh 84 天前
最简单就是前面放甲骨文 vps ,堆个 10000 个,ddos ?都是小儿科
|
14
Jobcrazy 74 天前
如果是 App 的服务器受到攻击,不得不又提一下我写的免费防御工具了:www.kaka888.com
如果是网站受到攻击,比较简单的一个方式就是先换 IP 并挂上可以限制访问区域的 CDN ,做一些简单的限制(比如限制海外访问、访问频率限制),可以解决大部分问题。再不行就得上 WAF 了,无底洞,小站没必要。 |