DDOS攻击事件记录
网站遭到DDOS攻击及处理
下午3点半左右的时候,突然收到短信,说网站遭到DDOS攻击,打开网站,访问不了,白的。
长那么大,第一次遇到,一脸懵逼。我以为内容管理网站是无利可图的,原来,一切都是我自以为。。。
以为一堆报警信息发过来,因为我在阿里云设置了站点监控,还有写的脚本也是:监控网站可用性是通过服务器上的定时脚本,去curl 网址,判断状态码返回的。话说还真的返回200状态码,所以钉钉没有收到告警,但是浏览器访问还是白的。相当于关了个门口 = =,网站访问出都出不去
然后为了恢复网站访问,我把域名解析到waf上的cname记录禁止了,指回到源站入口nginx服务器上(添加A记录),就能恢复网站访问,这相当于机器直接裸奔。。。不过没办法,不然只能干等
登录阿里云控制台,查看waf页面,https://help.aliyun.com/knowledge_detail/50396.html?spm=5176.b60273129.0.dexternal.71775bb9SVS9bY
说无法解决,除非充钱。。。第一次觉得人生这么绝望 = =
控制台waf页面,查到主要是脚本工具攻击
看到是在域名后面拼请求,长这样:
域名/web.rar,
域名/wwwroot.tar.gz,
域名/xxx.zip
然后问了下开发能不能禁掉这样子拼网站请求。本公司开发没明确回答我,只叫我直接禁止这个段, 我也在nginx上把这个ip段禁止了。
乌冬子还是很好的,正面回答我说搞不了:从你们平台的角度,能做的就是控制路径,不认识的路径返回404,是控制不了外界的随意拼接的,但nginx可以控制允许的路径。用白名单的方式控制,比用黑名单禁止要好。
然后查了一堆,只查到限流,限制连接数,或者ip黑白名单。。。
叫我用普通的location配置就好了
不要用这种了:location / (我们就是用这个),说这个太广泛等于没任何控制。要尽量缩小范围
localtion / 一般会重定向到一个更小范围的path
例如:location /home/ {}
说我不这么搞,以后一直会有烦恼。。。明天0点到18号休市,话说可以测下滴。。。。貌似很大工程量,过渡期也很烦 = = 阔怕
示例: 网站域名/一级路径/二级路径/cgi?querystring