دليل الاستجابة للطوارئ بعد هجوم DDoS / CC على خادم Alibaba Cloud
تلقيت رسالة نصية من Alibun: "لقد تعرضت مثيلتك ECS لهجوم كبير وتم إرسالها إلى ثقب أسود للتنظيف..."
أعتقد أن أي مسؤول عن الموقع أو Yunwei يرى هذه الأخبار ، فإن ضغط الدم سيرتفع على الفور. لا يمكن فتح الموقع ، ويتقيأ المستخدمون بجنون في المجموعة ، ويحدق رئيسك فيك خلف ظهرك. في هذا الوقت ، تتعرق راحة يدك ، ومن السهل جدًا أن تهرع إلى الطبيب.
اهدأ في حالة الهجوم ، لا يمكن للذعر أن يحل أي مشاكل. اليوم هذا البرنامج التعليمي دون أي هراء نظري ، مباشرة بالنسبة لك مجموعة
دليل الاستجابة للطوارئ القتالية الفعلية في بيئة الإنتاج عندما تتعرض لهجوم DDoS / CC
. حفظ هذه المقالة في الإشارة المرجعية الخاصة بك لإنقاذ حياتك في لحظة حرجة.
المفهوم الأساسي: أولاً ، تعرف ما الذي تتعرض له
فقط من خلال معرفة نفسك والعدو يمكنك رؤية الحيل. هناك نوعان رئيسيان من الهجمات ، واستراتيجيات المواجهة مختلفة تمامًا:
هجوم DDoS (نوع حركة المرور): يتحكم المتسللون في آلاف الدجاج اللاحم ، ويستخدمون حركة مرور القمامة الضخمة (UDP ، TCP Flood) للضغط مباشرة على عرض النطاق الترددي لخادمك. يبدو الأمر كما لو أن عشرات الآلاف من الأشخاص يضغطون على مدخل مترو الأنفاق في نفس الوقت ، ولا يمكن للأشخاص العاديين الدخول على الإطلاق.
هجوم CC (نوع التطبيق): حركة مرور المتسلل ليست كبيرة جدًا ، لكنه يستخدم عنوان IP الوكيل لمحاكاة المستخدمين الحقيقيين وتحديث الصفحات الأكثر استهلاكًا للموارد على موقع الويب الخاص بك (مثل البحث والاستعلام عن قاعدة البيانات والواجهة الديناميكية). عرض النطاق الترددي ليست ممتلئة ، ولكن وحدة المعالجة المركزية الخادم الخاص بك 100 ٪ على الفور ، مشلولة مباشرة.
المرحلة الأولى: الإنقاذ الذاتي في حالات الطوارئ-تدفق الطوارئ لمدة 5 دقائق
عندما تجد أنه لا يمكن فتح موقع الويب ، وتظهر المراقبة زيادة في حركة المرور أو وحدة المعالجة المركزية ، ابدأ على الفور خطوات الطوارئ التالية.
الخطوة 1: حدد ما إذا كان قد دخل "الثقب الأسود"
إذا قامت Alibaba Cloud مباشرة "بالثقب الأسود" لخادمك ، فهذا يعني أن حركة الهجوم قد تجاوزت عتبة الدفاع الافتراضية التي توفرها Alibian Cloud لـ ECS العادية (عادة حوالي 5G).
ظاهرة: لا يمكن فتح موقع الويب فحسب ، بل لا يمكنك حتى الاتصال بالخادم عبر SSH ، وحتى IP العام لخادم ping هو عمل إضافي.
الحل: قم بتسجيل الدخول إلى Alibaba Cloud Console ، وابحث عن "DDoS Protection" ، وإلقاء نظرة على حالة مثيلاتك في قائمة الحماية الأساسية. إذا كان "في ثقب أسود" ، فعادة ما يستغرق الأمر من 30 دقيقة إلى عدة ساعات قبل أن يتم إلغاء حظره تلقائيًا.
💡كيف تنقذ نفسها خلال فترة الثقب الأسود ؟ لا تنتظر بغباء. إذا كانت الأعمال بحاجة ماسة إلى التعافي ، انتقل على الفور إلى وحدة التحكم لربط ECS بـ "IP العام المرن (EIP)" الجديد. طالما أن المتسللين لم يكتشفوا عنوان IP الجديد الخاص بك ، يمكن إحياء الموقع على الفور لفترة وجيزة.
الخطوة 2: إذا كان SSH لا يزال متصلاً ، تحقق بشكل عاجل من هجوم CC
إذا لم يدخل الخادم في الثقب الأسود ، لكن البطاقة ستموت ، فاستخدم VNC أو SSH للدخول ، واضرب
أعلى
. إذا رأيت
إنجن إكس
أو
بي إتش بي-إف بي إم
/
جافا
بعد ملء وحدة المعالجة المركزية ، تعرض 90 ٪ لهجوم CC.
انتقل على الفور إلى سجل الوصول الخاص بـ Nginx (سجل الوصول) ، واستحوذ على ميزة تمرير الشاشة بشكل محموم:
(باس)
ه
# تحقق من القرائن المحتملة الأكثر زيارة في الوقت الحالي IP (أعلى 20)
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 20
راقب طلبات الوصول عالية التردد هذه ، وابحث عن قواسم مشتركة:
هل يطلبون جميعًا نفس الواجهة الديناميكية (مثل/api/v1/search) بجنون ؟
هل User-Agent (شعار المتصفح) غريب جدًا ، أو متسق تمامًا (على سبيل المثال ، كلاهما قديم IE6.0 أو فارغ) ؟
هل كل شيء من نفس قطاع IP ؟
الخطوة 3: "أغلق الباب وضرب الكلب" محليًا على الفور
بعد التقاط الميزة ، قم بإغلاق الطوارئ في Nginx.
1. إذا كان عنوان IP محدد يعمل ، قم بإغلاق جزء IP مباشرة:
افتح ملف تعريف موقع Nginx الخاص بك في
Server
إضافة مباشرة إلى الكتلة:
إنجينكس
Deny 123.45.67.89 ؛ # حظر IP خبيث واحد
Deny 220.181.0.0/16 ؛ # حظر كامل النطاق الخبيث C أو B IP
ثم تشغيل
nginx -s reload
.
2. إذا كانت خصائص الطلب واضحة (مثل UA أو واجهة معينة) ، ارجع مباشرة إلى 403:
إنجينكس
If ($ http _ user_agent ~ * "Scrapy | HttpClient | Java") {
Return 403 ؛
}
المرحلة الثانية: إعادة بناء الهندسة المعمارية-قطع الأنظار عن المتسللين
يمكن للإنقاذ الذاتي في حالات الطوارئ أعلاه أن يمنع الهجمات منخفضة المستوى فقط. إذا قام المتسلل بتغيير عنوان IP الوكيل واستمر في التمرير ، أو انتقل مباشرة إلى DDoS عالي الحركة ، فلن يتمكن أبدًا من حمله بواسطة ECS واحد.
تحتاج إلى تعديل الهيكل على الفور ،
إخفاء الخادم وراء الكواليس
.
تصميم هندسة الدفاع الأساسية
نص عادي
[هجوم ضار على حركة المرور/المستخدمين العاديين]
│
▼
[طبقة دفاع الأمن السحابي (IP/CDN عالي الحماية)] ── (تنظيف تدفق القمامة) ─> اعتراض والتخلص منه
│
(التدفق النظيف)
│
▼
[ECS محطة المصدر المخفية في VPC]
الخطوة 4: الوصول إلى CDN أو WAF (إخفاء مصدر IP تمامًا)
يمكن للقراصنة ضربك لأنه يعرف عنوان IP العام الحقيقي لخادمك. نحتاج إلى إضافة "جدار حماية" بين اسم المجال والخادم على الفور.
الوصول إلى Alibaba Cloud لتسريع DCDN أو CDN الآمن على جميع المواقع: قم بتحليل DNS لاسم المجال ، من الإشارة مباشرة إلى عنوان IP للخادم ،
يشير إلى عنوان CNAME المقدم من CDN بدلاً من ذلك. بهذه الطريقة ، بغض النظر عن كيفية التحقق من اسم المجال ، فإن ما يحصل عليه المتسلل هو فقط IP العقدة الهامشية لـ CDN. تتمتع CDN بقدرة تنظيف طبيعية عالية التدفق ، والتي يمكن أن تساعدك على منع معظم هجمات CC.
قم بتشغيل "Five-Second Shield" (تحدي JavaScript): في وحدة التحكم في CDN أو Cloud Shield WAF ، اضبط مستوى الحماية على "الطوارئ" أو قم بتشغيل "الحماية الأمنية CC". في هذه المرحلة ، سيقوم أي شخص يزور موقع الويب الخاص بك أولاً بإخراج صفحة انتظار مدتها 5 ثوانٍ من "الكشف عن أمان المتصفح...". لا يحتوي البرنامج النصي التسمين على محرك عرض متصفح حقيقي ، وسوف يكون عالقًا تمامًا في هذا المستوى.
الخطوة 5: قطع كل الوصول المباشر إلى عنوان IP القديم للخادم (المفتاح)
يجد الكثير من الناس أن الخادم لا يزال عالقًا بعد أخذ CDN ، لماذا ؟ نظرًا لأن المتسلل قد سجل عنوان IP الحقيقي لخادمك السابق ، فقد تجاوز اسم المجال مباشرة وأمسك IP حتى الموت.
الحل الوحيد: انتقل إلى وحدة التحكم Alibaba Cloud ECS وادخل "مجموعة الأمان".
تعديل قاعدة اتجاه الإدخال: قم بإزالة القاعدة التي تسمح لجميع عناوين IP(0.0.0.0/0) بالوصول إلى المنافذ 80 و 443.
تم تغييره إلى: يسمح فقط لجزء IP من الشبكة العامة من CDN أو WAF الذي اشتريته بالوصول إلى 80 و 443.
بهذه الطريقة ، بالإضافة إلى حركة المرور النظيفة التي يتم إعادة توجيهها عبر CDN ، سيطالب أي شخص خارج العالم يطرق عنوان IP الخاص بالخادم الخاص بك مباشرة بفشل الاتصال. الخادم الخاص بك مخفي تماما على شبكة الإنترنت.
المرحلة الثالثة: الاستقرار على المدى الطويل-منع المشاكل قبل حدوثها
بعد التعرض للضرب المبرح ، يجب عليك ملء أوجه القصور في التشغيل والصيانة اليومية:
الخلاص الذاتي على مستوى الكود: بالنسبة للواجهات الديناميكية عالية الخطورة مثل تسجيل الدخول والتسجيل والبحث ورموز التحقق من الرسائل القصيرة ، يجب إضافة رمز التحقق الرسومي أو التحقق من السلوك (مثل التحقق من شريط التمرير). يتم تقديم عداد Redis في منطق الكود ، مما يحد من تردد الوصول إلى مستخدم واحد/IP واحد (على سبيل المثال: أكثر من 5 زيارات في ثانية واحدة مقفلة مباشرة لمدة ساعة واحدة).
قم بإعداد "حقيبة النقود" وخطة الدفاع عالية المستوى: إذا كنت تقوم بالتجارة الإلكترونية أو الألعاب أو تشارك في أنشطة التسويق عبر الإنترنت ، فمن السهل جذب المتسللين المحترفين المعينين من قبل أقرانك. لا يمكن لـ ECS العادية حل DDoS ذات التدفق الكبير. بمجرد أن يتجاوز تدفق الهجوم 50 جيجا بايت ، قم بشراء Alibun's DDoS High Defense (BGP الجديد) بأمانة. لديها عرض نطاق تنظيف على مستوى T ، وهو خط دفاع مكدس حقًا بأجهزة خالصة وعرض نطاق ترددي عالي المستوى.
ليس من المخيف أن تتعرض مواقع الويب للهجوم ، والشيء المخيف هو أن المتسللين يضربونك ، لكنك تجلس أمام الكمبيوتر ولا تفعل شيئًا سوى إعادة تشغيل الخادم. نقش هذه المجموعة من "طرق تنظيف محطة المصدر المخفية لتطبيق الحد من التدفق" في ذهنك ، حتى لو جاء المتسللون مرة أخرى ، يمكنك أن تكون هادئًا ومحظرًا.