这是一个创建于 323 天前的主题,其中的信息可能已经有所发展或是发生改变。
准备在这几年把自己的一个网站迁回国内,现在用的 cloudflare cdn 对国内极其不友好,速度慢如蜗牛。但这也意味着要脱离 cloudflare ,没了 cloudflare 的保护,后续一堆网络恶意攻击会接踵而至。自己对网络攻防了解不深,最近调研了一些抵御手段,比如使用 fail2ban 、自建 cdn 等。可以确定的是,市面上的 cdn 太贵是用不起的。后续因为是要注册公司,合法经营,服务的对象主要是国内用户,或者可不可以完全屏蔽国外 ip 段,后续如果遭受攻击,攻击源头来自于国内,产生较大影响直接 bao jing 处理有没有用?网上可参考的太少了。
不知道在这方面有没有类似经验的 v 友,求给一些解答和建议,小成本创业需要考虑的实在太多了,网络攻击就是头疼的事
不知道在这方面有没有类似经验的 v 友,求给一些解答和建议,小成本创业需要考虑的实在太多了,网络攻击就是头疼的事
57 条回复 • 2024-01-05 10:55:31 +08:00
 |
1
perfectlife 323 天前 via Android  1
最省钱的就是服务停了,ddos 就是让你花钱的
|
 |
2
manami OP @perfectlife 老哥给个招,拔网线的方法用不了几次🙃
|
 |
3
tomczhen 323 天前 via Android 1
一般拔网线最省成本,除非拔网线带来的损失大于保证服务正常的成本。
|
 |
4
balabalaguguji 323 天前
最近才被追着攻击了几天,真的很讨厌,我对这方面的防护也不懂,最近用了下腾讯云 7 天的免费 web 防火墙,但是正式的用不起,太贵了。
|
|
5
manami OP @balabalaguguji 国内服务商的 cdn 不敢碰,之前看有 v 友被攻击一下子欠了几 w
|
 |
6
devilarchitect 323 天前
你要是这么问我出 ddos 三大法宝:流量清洗 拔网线 拔电源
|
 |
7
locoz 323 天前 via Android
拔网线
|
 |
8
edwinyzhang 323 天前 2
用开源的 waf 自己挡一道
https://github.com/unixhot/waf |
 |
9
asuraa 323 天前
ddos 用 waf 是挡不住的,最贱的办法就是套一个 cdn
|
 |
10
Jackeriss 323 天前
如果支持换 ip 就换 ip ,不行就换机器,准备好镜像能随时部署新机器就行。如果有多台机器就用 DNS 做负载均衡。
|
|
11
asuraa 323 天前 1
ddos 用 waf 是挡不住的,最简单的办法就是套一个 cdn
|
 |
12
kuituosi 323 天前 1
阿里云有免费的 5G 额度 ddos 防护超出了才计费,对小公司而言是不错的福利
|
 |
13
wheat0r 323 天前
ddos 要是好防,它就不姓 D 了
|
 |
14
proxytoworld 323 天前
openai 都被 d 过。。。挡不住的,只能套 cdn
|
 |
15
JensenQian 323 天前 via Android
要到国内快的话买个 cera 杜甫,就是太贵了
|
 |
16
Greatshu 323 天前
cloudflare 又不是没有国内公司,你找销售问下价格?
|
 |
19
jaTomn 323 天前 1
我最近也被 D 的很头疼,但我开的是游戏服务器,只有 UDP 流量。最近也在尝试屏蔽海外 IP 。据闻发动 DDOS 攻击使用海外流量的费用远远小于使用国内 IP 。屏蔽海外 IP ,至少能提高一下攻击者的单次攻击成本吧。
|
 |
20
SculptureSand 323 天前 via Android 1
防攻击真的心累,尤其是你们经营网站,需要考虑可用性的
我自己的个人项目(还在开发中),目前想好了一个多层多级的防刷策略,在我之前的帖子里有提及部分方法,实际上没什么技术含量,更多是创意 OP 我建议至少制定一个最终的底线,被攻击到一定程度就直接暂停服务止损 我自己这边其中一个监控准备是单纯的调用一次 API 就记录进一次数据库,同时判断是否超量 没正式写过项目,更别提上线项目,不知道这是不是数据库正确用法,感觉好原始,哈哈 另外我目前还打算不上 CDN ,还没测光靠对象存储访问速度行不行,但看别人对象存储被刷,损失都是 1K-1W ,除了有篇知乎文章说对象存储被刷想去暂停,但欠费阿里云不给操作,于是只能交钱,刚交完又被刷,只能再交,然后被刷数 w 而 CDN 这玩意应该是能刷到倾家荡产的 |
 |
21
XiLingHost 323 天前 1
对抗 ddos 最好的方案应该是分布式服务,去中心化就不怕 d 了
|
 |
22
QinYu0226 323 天前 5
一个新思路,开发客户端 App 。客户端可以用非标准的端口连接真正的业务。
比如在 3306 端口搭建 HTTPS 服务,攻击者都以为这是 SQL 端口但其实是前端。22 端口搭建 MySQL 同样道理。 而关键的就是普通的浏览器默认是不允许链接这些端口的,比如浏览器会默认 21 就是 FTP ,22 就是 SSH ,53 就是 DNS 。 所以你需要专门做一个客户端强制用 22 或者 53 端口作为 HTTPS 来进行连接。 这是其实是很多 黄 站 会用的方法。不是硬抗而是躲避,端口都是反直觉的,不会让你猜到这是什么服务。所有非客户端的访问都是直接 ban 。 |
 |
23
pengtdyd 323 天前 1
ddos 你怎么知道这个不是云厂商自导自演的行为呢?
|
 |
24
Chuckle 322 天前 1
凉拌,看保服务还是保钱包了,现在各家 cdn 的异常停止和通知至少都有 5 分钟以上延迟,黄花菜都凉了,我用着的 edgeone 个人版也没承诺能防护多少,最低成本就裸服务器扛吧,部署上 WAF ,找找高防算法用,至少服务器处理不过来的时候就死掉了,给你拔网线的时间,用 cdn 的话,把大陆外的 ip 都 ban 了,qps 设置好,国内攻击还是有点成本的
|
 |
25
dedemao 322 天前
硬抗
|
 |
26
dode 322 天前
隐藏服务,docker 部署,限制单个服务 cc 请求处理资源
要求登录,隔离拆分部署,不同用户服务器资源相互独立 |
 |
27
zenghx 322 天前
关机
|
 |
28
zx900930 322 天前
小公司一定要用资费封顶,超出断服务进黑洞那种的。
最难受的就是大公司,不能中断服务的那种。 因为流量刷起来,你的资费很容易就炸了。 |
|
29
dedemao 322 天前
换 IP ,阿里云有弹性 IP ,5M 带宽的一个 IP 一天也就 4 元钱,打死一个再换一个。从买 IP 到绑定网卡,再到域名解析到新的 ip ,一系列操作都提供 API
|
 |
30
cokey 322 天前 1
最好的办法就是 CDN ,然后直接挂工单找客服,去申请关闭欠费保护期即可,我用的七牛云就是这样关的
|
 |
31
fionasit007 322 天前 1
一般的站也没有搞的,要是遇到专门有人搞的,没钱就没办法,waf 啥的只能防防手贱的,cdn 之类的增值服务都需要花钱的,我们之前 cdn 没做监控一晚上被烧了几个 w ,后面天天流量攻击,全是正常 ip 轰炸的,防火墙没有一点办法,只能花钱买流量扛,
|
|
32
fionasit007 322 天前
@pengtdyd 是不是云平台故意的不清楚,我们前一阵阿里云 cdn 被攻击了,二话不说换了个平台,内部打折比阿里云便宜哈哈
|
|
33
fionasit007 322 天前
@SculptureSand 要上 cdn 的话把监控加好,阿里云可以设置带宽封顶,到顶了指定停止服务
|
 |
34
Features 322 天前
买个小 IDC 的高防吧,一般就两三千一个月
对比阿里云一个月最低 1.8w 已经很便宜了 |
 |
36
opengps 322 天前
多个 ip ,多个域名,分别对外提供完全相同的服务,这样即使被打,也需要对方有足够多的资源去调动
|
 |
37
0o0O0o0O0o 322 天前 3
不知道你们的规模,我提个我自己在用的:
- 只用微信生态提供服务,放弃 Web 、原生,用 https://developers.weixin.qq.com/miniprogram/dev/wxcloudrun/src/basic/overview.html#%E4%B8%89%E3%80%81%E4%BC%98%E5%8A%BF-%E7%89%B9%E7%82%B9 - 抗 D ,你 D 微信去吧 - cc 成本高,只要腾讯云不出漏洞,无效流量都被清洗了,落到你后端的请求都对应真实的微信号,报警了溯源成功的可能性也更高(仅是个人感觉,至少比海量肉鸡 IP 好溯源吧?) - 支持设定 callcontainer 的扩容上下限,相当于设定了实例消费上限 - 存储等按量付费的自己想办法,自己模拟下怎么才能被攻击时不被刷爆 - 真拔线了也不怕和用户失联,可以上线个公告 成本有限就依托大公司,海外有赛博菩萨 Cloudflare ,国内没有平替,那就牺牲一点开发体验选微信吧 |
 |
38
oudemen 322 天前 1
云厂商的 slb 都有免费 ddos 流量额度,比如阿里云是 5G ,域名解析到多个 slb 上,每次攻击一般只攻击其中一个 IP ,所以剩下的还能正常提供服务。被攻击后,立刻停止对应 slb 的解析或者更换一个新 slb 。 影响会降低很多,这一切可以搞成自动的。这是我想到最低成本的方案。
|
|
39
0o0O0o0O0o 322 天前
|
 |
41
myqoo 322 天前
纯静态资源的网站很容易防护
|
 |
42
ugpu 322 天前 2
域名解析指向 gov 网站. 不出一天对面进去了 你就可以继续开启服务器了
|
 |
43
kaf 322 天前 1
大部分的攻击都是拉取域名无差别攻击,国内本身肉机少,通过设置一些特定的 header 鉴权就能档大半,当然如果专门来攻击你,通过浏览器复制你的请求攻击就没办法。这样防不住就弄一个发放令牌的服务,前端每次先调用拿到令牌,带着令牌请求,走 cdn 可以在 cdn 厂商配置远程鉴权,这样再防不住,大概率就是针对你攻击的,还是报警吧。
最后打个我司的广告,虽然不知名云服务公司,但是 cdn 服务自带高防,被攻击后台有人处理,攻击流量可以找客服 battle 掉,有需要可以联系 |
 |
44
hubaq 322 天前 1
直接淘宝买高防,我好几年了基本没被打死,最大流量 200G 都抗住了,价格也就几百
|
 |
48
token10086 322 天前
@balabalaguguji 看见前辈的遭遇我的工具站流量起来了我打算套 CF 。。。。。
|
 |
49
objectgiga 322 天前
@kuituosi 5G 那个太小了,你去谷歌随便找个白嫖 ddos 平台可能都打穿了,然后就进黑洞了,都别说人家花钱打你了
|
 |
50
INW017bzMfgkkYGn 322 天前
@hubaq #44 几百是每个月吗?
|
|
51
INW017bzMfgkkYGn 322 天前
@QinYu0226 没有硬防这些手段也不顶用吧。
真是要 D 你,谁还管你浏览器不浏览器端口不端口的,直接大水漫灌淹死为止 |
 |
52
kenvix 322 天前
CC 好抗,写好过滤规则就行。DDOS 除了砸钱是没有办法的
|
 |
54
salor 321 天前 via iPhone
需要自己托管的年代机房网管会毫不废话的拔你网线
|
 |
55
luojiyin87 321 天前
除非全部静态化,然后上 cdn 。 买防火墙,对于个人太贵了。
|
|
56
kuituosi 321 天前
@objectgiga 牛逼吹的大,不花钱上哪儿白嫖 5G 的流量?
|
|
57
INW017bzMfgkkYGn 321 天前
@hubaq 小项目还真是用不起。不知道三丰云的怎么样,120G 防护 每个月 229
六型 成都高防 16 核 16G 赠送 200G 50Mbps 120G (更高防护联系客服) ¥ 15 元/天 ¥ 229 元/月 |
Select Language