阿里雲サーバがDDoS/CC攻撃を受けた後の緊急対応ガイド
阿里雲から「あなたのECSインスタンスは大流量攻撃を受け、ブラックホールに送られた… 」
どの駅長や運送次元もこのニュースを見て、血圧が瞬時に上がると信じています。サイトが開かず、ユーザーがグループの中で狂ったように突っ込み、上司が背後で死んであなたを見つめていると、手のひらが汗をかいて、病気になりやすい。
落ち着いて。攻撃にぶつかっても、慌てて何の問題も解決できない。今日のこのチュートリアルには理論的なでたらめは何もないので、直接あなたにあげます
生産環境がDDoS/CC攻撃に遭遇した場合の実戦緊急対応ガイドライン
。この文章をあなたのブックマークに保存して、肝心な時に命を守ることができます。
コア概念: まず、あなたが何をしているのかを明らかにします
知己は彼を知っています。攻撃は主に二つに分けられ、対応策は全く異なる
DDoS攻撃 (トラフィックタイプ): ハッカーは何千台もの肉鶏をコントロールし、大量のスパムトラフィック (UDP、TCP Flood) でサーバの帯域幅を直接押しつぶします。これは何万人もの人が同時に地下鉄の口を押しているようなもので、普通の人は入れない。
CC攻撃 (応用型): ハッカーのトラフィックはそれほど大きくないが、エージェントIPを利用して実際のユーザーをシミュレートしあなたのウェブサイトで最もリソースを消費しているページ (検索、データベース照会、動的インタフェースなど) を更新します。帯域幅はいっぱいではありませんが、サーバのCPUは瞬時に100% 、直接麻痺しています。
第一段階: 緊急自己救助 -- 5分緊急流れ
Webサイトが開かず、トラフィックが急増したり、CPUが赤くなったりしたことを監視している場合は、すぐに次の緊急手順を開始します。
ステップ1: 「ブラックホール」に入ったかどうかを判断する
もし阿里雲があなたのサーバーを直接「ブラックホール」にしたら、攻撃トラフィックはすでに阿里雲が普通のECSに提供するデフォルトの防御しきい値 (通常は5G程度) を超えていることを意味します。
現象: webサイトが開かないだけでなく、SSHを介してサーバにも全く接続できず、pingサーバのパブリックネットワークIPもタイムアウトしている。
解決策: 阿里雲コンソールにログインし、「DDoS保護」を検索し、基礎保護リストであなたのインスタンスの状態を見る。「ブラックホールの中」であれば、通常は30分から数時間待ってから自動的に開封します。
💡ブラックホール期はどうやって自分を救うのか?馬鹿に待ってはいけない。業務の回復が必要な場合は、すぐにコンソールに行って、このECSに新しい「柔軟なパブリックネットワークIP(EIP) 」をバインドします。ハッカーがあなたの新しいIPを発見していない限り、サイトはすぐに復活します。
ステップ2: SSHがまだ接続できる場合は、CC攻撃を緊急にトラブルシューティングします
サーバーがブラックホールに入っていないが、カードが死ぬ場合は、VNCまたはSSHで接続し、ノックします
トップ
。見たら
エンジンエックス
または
PHP-FPM
/
ジャバ
CPUをいっぱい食べて、90% がCC攻撃に遭遇した。
すぐにNginxのアクセスログ (Access Log) を見て、狂ったスクリーンの特徴をつかむ
Bas
えいち
# 現在最もアクセス数の多い潜在的な手がかりIPを見る (上位20位)
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 20
これらの高周波アクセスの要求を観察し、共通点を探します
/Api/v1/searchなど、同じ動的インタフェースを要求していますか?
User-Agent (ブラウザのロゴ) は奇妙であるか、完全に一致しているか (古いIE6.0や空の場合など)
同じIPセグメントから来ていますか?
ステップ3: すぐに地元で「ドアを閉めて犬を殴る」
特徴をつかんだ後、Nginxで緊急ブロックを行う。
1.特定のIPが奇妙な場合は、IPセグメントを直接ブロックします
Nginx webサイトの構成ファイルを開きます
サーバー
ブロックに直接加える:
エンジンX
Deny貸し出し-89; _ は単一の悪意のあるIPを禁止します。
Deny 628181.0.0/16; # 悪意のあるCセグメントまたはBセグメントIP全体をブロックする
そして実行する
nginx -s reload
。
2.要求の特徴が明らかな場合 (特定のUAやインタフェースなど) は、直接403を返します
エンジンX
If ($ http_user_agent ~ * "Scrapy | HttpClient | Java") {
Retur403;
}
第二段階: アーキテクチャの再構築 -- ハッカーの視線を断ち切る
上の緊急自己救助は低レベルの攻撃を止めるしかない。ハッカーがエージェントIPを交換してブラシを続けたり、直接大流量DDoSに乗ったりすると、ECSだけでは絶対にifを担えない。
すぐに枠組みを調整する必要があります
サーバを背後に隠す
。
コア防御アーキテクチャ設計
プレーンテキスト
【悪意ある攻撃トラフィック/正常ユーザー】
│
▼
【クラウド安全防御層 (高防IP / CDN)】 -- (ゴミ洗浄流量) --> ブロックして廃棄します。
│
(クリーンフロー)
│
▼
【VPC内に隠れているソースステーションECS】
ステップ4: CDNまたはWAFへのアクセス (ソースIPを完全に隠す)
ハッカーがあなたを殴ったのは、彼があなたのサーバーの本当のパブリックネットワークIPを知っているからです。すぐにドメイン名とサーバの間に「ファイアウォール」を追加します。
阿里雲全駅にアクセスしてDCDNや安全CDNを加速する: ドメイン名のDNSを解析し、直接サーバIPを指し
CDNが提供するCNAMEアドレスに変更します。このように、ハッカーがドメイン名をどのように調べても、CDNのエッジノードIPにすぎない。CDNは天然の大流量洗浄能力を持っており、ほとんどのCC攻撃を止めることができる。
「五秒盾」 (JavaScriptチャレンジ) をオンにする: CDNや雲盾WAFのコンソールで、防護レベルを「緊急」にするか「CC安全防護」をオンにする。この時点で、あなたのサイトにアクセスする人は、まず「ブラウザのセキュリティを検出しています... 」という5秒待ちページが表示されます。肉鶏の脚本には実際のブラウザのレンダリングエンジンがなく、このレベルで完全に死んでしまう。
ステップ5: サーバーの古いIPへのすべてのダイレクトアクセスを切断する (キー)
多くの人がCDNを受け取った後、サーバーが死んでいるのを発見したのはなぜですかハッカーはあなたの以前のサーバーの本当のIPを記録しているので、彼はドメイン名を迂回して、IPを持って死んでいる。
唯一の解法: 阿里雲ECSコンソールに行って「セキュリティグループ」に入る。
入方向ルールの変更: すべてのIP (39.0.0/0) が80ポートと443ポートにアクセスできるルールを削除します。
変更: 購入したCDNまたはWAFのパブリックネットワークIPセグメントだけが80と443にアクセスできる。
このように、CDNを通じて転送されたクリーンなトラフィックを除いて、外部の誰もがあなたのサーバIPを直接叩いて、接続に失敗したことを知らせます。あなたのサーバーはインターネット上で完全に隠れています。
第三段階: 長治久安 -- 未然防止
一度暴行を経験した後、日常の運送次元で短い板を補充しなければならない
コードレベルの自己救済: 登録、登録、検索、メール認証コードなどのハイリスクな動的インタフェースには、グラフィック認証コードや行動認証 (スライダー認証など) を加えなければならない。コードロジックにRedisカウンタを導入し、単一のユーザー/単一のIPに対してアクセス頻度を制限します (例: 1秒以内にアクセスが5回を超えて直接1時間ロックされています)。
「財布」と高防案を用意する: 電気商、ゲーム、あるいはオンラインマーケティング活動をしていると、同業雇用の職業ハッカーを招きやすい。普通のECSは大流量DDoSを解決できない。攻撃流量が50g以上になると、正直に阿里雲のDDoS高防(新BGP) を購入する。Tクラスの洗浄帯域幅を持っています。それは、純粋なハードウェアとトップレベルの帯域幅で積み上げられた防御線です。
サイトが攻撃されるのは怖くない。怖いのはハッカーがあなたを殴っているのに、パソコンの前に座ってサーバーを再起動する以外は何もできない。この「隠れ源駅洗浄流量応用制限流」のやり方を頭の中に刻んで、ハッカーが来ても、あなたは気をつけてのんびりして、兵士が止めることができる。