Panduan untuk tindak balas kecemasan setelah pelayan Alibaba Cloud mengalami serangan DDoS / CC
Menerima pesanan teks dari Alibaba Cloud: "Contoh ECS anda telah diserang oleh lalu lintas yang besar dan telah dikirim ke lubang hitam untuk pembersihan..."
Saya percaya bahawa mana-mana webmaster atau operasi dan penyelenggaraan akan melihat berita ini, dan tekanan darahnya akan melambung tinggi. Laman web tidak dapat dibuka, pengguna mengeluh dengan panik dalam kumpulan, dan bos menatap anda di belakang anda. Pada masa ini, telapak tangan anda berpeluh, dan anda sangat terdedah kepada penyakit dan rawatan perubatan.
Tenang. Dalam serangan itu, panik tidak dapat menyelesaikan masalah. Tutorial hari ini tidak mempunyai omong kosong teori, saya akan memberi anda satu set
Panduan untuk tindak balas kecemasan sebenar apabila persekitaran pengeluaran menghadapi serangan DDoS / CC
。 Simpan artikel ini di penanda halaman anda untuk menyelamatkan nyawa anda pada saat genting.
Konsep teras: pertama mengetahui apa yang anda hadapi
Hanya dengan mengenali diri sendiri dan musuh kita dapat melihat muslihat. Terdapat dua jenis serangan utama, dan strategi mengatasi sama sekali berbeza:
Serangan DDoS (jenis lalu lintas): Peretas mengawal ribuan ayam pedaging dan menggunakan lalu lintas sampah besar-besaran (UDP, TCP Flood) untuk menekan lebar jalur pelayan anda secara langsung. Ia seperti puluhan ribu orang yang masuk ke pintu masuk kereta bawah tanah pada masa yang sama, dan orang normal sama sekali tidak dapat masuk.
Serangan CC (jenis aplikasi): Lalu lintas penggodam tidak begitu besar, tetapi dia menggunakan IP proksi untuk mensimulasikan pengguna sebenar dan memuat semula halaman yang paling banyak menggunakan sumber di laman web anda (seperti carian, pertanyaan pangkalan data, antara muka dinamik). Lebar jalur tidak penuh, tetapi CPU pelayan anda serta-merta 100%, secara langsung lumpuh.
Tahap pertama: penyelamatan diri kecemasan-aliran kecemasan 5 minit
Apabila anda mendapati bahawa laman web tidak dapat dibuka, dan pemantauan menunjukkan peningkatan lalu lintas atau CPU melambung tinggi, segera mulakan langkah kecemasan berikut.
Langkah 1: Tentukan sama ada anda memasuki "lubang hitam"
Sekiranya Alibaba Cloud secara langsung "lubang hitam" pelayan anda, ini bermaksud bahawa lalu lintas serangan telah melebihi ambang pertahanan lalai yang diberikan oleh Alibaba Cloud kepada ECS biasa (biasanya sekitar 5G).
Fenomena: Bukan sahaja laman web tidak dapat dibuka, anda juga tidak dapat menyambung ke pelayan melalui SSH, malah IP rangkaian awam pelayan ping habis.
Penyelesaian: Log masuk ke konsol Alibaba Cloud, cari "DDoS Protection", dan lihat status contoh anda dalam senarai perlindungan asas. Jika ia adalah "dalam lubang hitam", ia biasanya perlu menunggu 30 minit hingga beberapa jam untuk membuka blokir secara automatik.
💡Bagaimana menyelamatkan diri semasa tempoh lubang hitam? Jangan tunggu bodoh. Sekiranya perniagaan perlu dipulihkan dengan segera, segera pergi ke konsol untuk mengikat "IP rangkaian awam fleksibel (EIP)" baru ke ECS ini. Selagi penggodam belum menemui IP baru anda, laman web ini dapat segera dibangkitkan.
Langkah 2: Sekiranya SSH masih dapat disambungkan, segera periksa serangan CC
Sekiranya pelayan tidak memasuki lubang hitam, tetapi tersekat, sambungkan dengan VNC atau SSH dan ketik
atas
。 Sekiranya anda melihat
nginx
Atau
php-fpm
/
jawa
Setelah makan CPU penuh, 90% mengalami serangan CC.
Pergi dan lihat log akses Nginx (Log Akses) dengan segera, dan ambil ciri-ciri skrin yang menggila:
Bas
h
# Lihat IP petunjuk berpotensi yang paling banyak dikunjungi (20 teratas)
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 20
Perhatikan permintaan untuk akses frekuensi tinggi ini dan cari persamaan mereka:
Adakah anda gila untuk meminta antara muka dinamik yang sama (seperti/api/v1/carian)?
Adakah User-Agent mereka (logo penyemak imbas) pelik atau sama (seperti IE6.0 lama atau kosong)?
Adakah semuanya berasal dari segmen IP yang sama?
Langkah 3: Segera "tutup pintu dan pukul anjing" tempatan
Setelah menangkap ciri tersebut, larangan kecemasan dilakukan di Nginx.
1. Sekiranya IP tertentu berfungsi, tutup segmen IP secara langsung:
Buka fail konfigurasi laman web Nginx anda, di
Pelayan
Tambahkan terus ke blok:
Nginx
Deny 123.45.67.89; # melarang satu IP jahat
Deny 220.181.0.0/16; # Menyarang keseluruhan segmen C atau segmen B yang berniat jahat
Kemudian jalankan
nginx -s semula
。
2. Sekiranya ciri permintaan jelas (seperti UA atau antara muka tertentu), kembalikan 403 secara langsung:
Nginx
Jika ($ http_user_agent ~ * "Scrapy | HtpClient | Java") {
Kembali 403;
}
Tahap kedua: pembinaan semula seni bina-memotong pandangan penggodam
Bantuan diri kecemasan di atas hanya dapat menyekat serangan peringkat rendah. Sekiranya penggodam menukar IP proksi dan terus menyikat, atau secara langsung meningkatkan lalu lintas DDoS, sama sekali tidak dapat menahannya dengan satu ECS.
Anda perlu menyesuaikan seni bina dengan segera,
Sembunyikan pelayan di belakang tabir
。
Reka bentuk seni bina pertahanan teras
Teks biasa
[Trafik serangan jahat/pengguna biasa]
│
▼
[Lapisan pertahanan keselamatan awan (IP/CDN pertahanan tinggi)] ─── (Membersihkan aliran sampah) ──> Memintas dan membuang
│
(Aliran bersih)
│
▼
[ECS stesen sumber tersembunyi di VPC]
Langkah 4: Akses ke CDN atau WAF (benar-benar menyembunyikan IP stesen sumber)
Sebab mengapa penggodam dapat memukul anda adalah kerana dia mengetahui IP rangkaian awam sebenar pelayan anda. Kita perlu segera menambahkan "firewall" antara nama domain dan pelayan.
Akses ke seluruh laman Alibaba Cloud untuk mempercepat DCDN atau CDN selamat: resolusi DNS nama domain dari langsung ke IP pelayan,
Sebaliknya menunjuk ke alamat CNAME yang disediakan oleh CDN. Dengan cara ini, tidak kira bagaimana penggodam memeriksa nama domain, mereka hanya akan mendapat IP nod tepi CDN. CDN mempunyai kemampuan pembersihan aliran besar semula jadi, yang dapat membantu anda menyekat sebahagian besar serangan CC.
Hidupkan "Five Seconds Shield" (JavaScript Challenge): Di konsol CDN atau Cloud Shield WAF, sesuaikan tahap perlindungan ke "darurat" atau hidupkan "CC Security Protection". Pada ketika ini, sesiapa yang mengunjungi laman web anda akan muncul halaman menunggu 5 saat "mengesan keselamatan penyemak imbas...". Skrip ayam pedaging tidak mempunyai mesin rendering penyemak imbas sebenar dan akan tersekat sepenuhnya oleh tahap ini.
Langkah 5: Potong semua akses langsung ke IP lama pelayan (kunci)
Ramai orang mendapati bahawa pelayan masih tersekat setelah menerima CDN. Mengapa? Oleh kerana penggodam telah merakam IP sebenar pelayan anda sebelumnya, dia secara langsung memintas nama domain dan memukul IP hingga mati.
Satu-satunya penyelesaian: Pergi ke konsol Alibaba Cloud ECS dan masukkan "kumpulan keselamatan".
Ubah peraturan arah masuk: hapus peraturan yang membolehkan semua IP(0.0.0.0/0) mengakses port 80 dan 443.
Tukar ke: Hanya segmen IP rangkaian awam CDN atau WAF yang anda beli yang dibenarkan mengakses 80 dan 443.
Dengan cara ini, selain lalu lintas bersih yang diteruskan melalui CDN, sesiapa sahaja dari dunia luar yang secara langsung mengetuk IP pelayan anda akan meminta sambungan gagal. Pelayan anda benar-benar tidak kelihatan di Internet.
Tahap ketiga: kestabilan jangka panjang-mencegah masalah sebelum ia berlaku
Setelah mengalami pemukulan teruk, anda mesti menebus kekurangan dalam operasi dan penyelenggaraan harian:
Keselamatan diri pada tahap kod: Untuk antara muka dinamik berisiko tinggi seperti log masuk, pendaftaran, carian, dan kod pengesahan SMS, kod pengesahan grafik atau pengesahan tingkah laku (seperti pengesahan slider) mesti ditambahkan. Memperkenalkan kaunter Redis ke dalam logik kod untuk menghadkan kekerapan akses kepada pengguna tunggal/IP tunggal (contohnya: lebih daripada 5 akses dalam 1 saat dikunci secara langsung selama satu jam).
Siapkan "poket" dan rancangan pertahanan tinggi: Sekiranya anda melakukan e-dagang, permainan, atau terlibat dalam aktiviti pemasaran dalam talian, mudah untuk menarik penggodam profesional yang disewa oleh rakan sebaya. ECS biasa tidak dapat menyelesaikan DDoS aliran besar. Setelah lalu lintas serangan melebihi 50G, dengan jujur membeli pertahanan tinggi DDoS Alibaba Cloud (BGP baru). Ia mempunyai lebar jalur pembersihan tahap T, yang merupakan barisan pertahanan yang benar-benar ditumpuk dengan perkakasan tulen dan lebar jalur teratas.
Tidak teruk laman web diserang. Perkara yang mengerikan ialah penggodam memukul anda, tetapi anda duduk di depan komputer dan tidak dapat melakukan apa-apa kecuali menghidupkan semula pelayan. Terukir set "stesen sumber tersembunyi untuk membersihkan lalu lintas dan mengehadkan arus" ke dalam fikiran anda, walaupun penggodam datang lagi, anda boleh menjadi tenang dan santai.
