有软件层面扛 dos 的方案么？ - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

DataPacket

CDN77

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 3378 天前的主题，其中的信息可能已经有所发展或是发生改变。

RT，流量没满，CPU被占满挂了，抓包分析似乎是TCP PSH+ACK攻击。简单的fail2ban好像不能处理这个，有其他现成方案么？（能自动化的，被攻击死机了没法手动操作）

18 条回复 • 2015-02-06 13:45:08 +08:00

1

oojiayu

2015-01-20 03:17:00 +08:00

你说的应该是DDOS 不是DOS ~
DDOS 以及CC的攻击都是需要硬件防护的~
如果你的服务器是独立主机，那么你要判定攻击者是攻击的你的网站还是服务器~
如果是网站，你可以选择使用安全狗服务~ 或者CDN~
如果是独立服务器被攻击，那么你可以选择更换IP地址~
不过貌似你的情况比较严重~
问问谷歌看看吧~

2

twl007

2015-01-20 03:43:09 +08:00 via Android

mod-security 开源的一个WAF模块不过实际部署的话规则调整会比较麻烦目前官网给出收费及免费两种规则库依据个人需要选吧

3

bobopu

2015-01-20 07:51:57 +08:00 via iPhone

流量没满cpu满了，这是cc啊，换ip后上cdn

4

youyoumarco

2015-01-20 08:35:54 +08:00

换CDN，很早以前找过运营商协助解决，现在呵呵了

5

xoxo

2015-01-20 10:17:23 +08:00

自己写防CC规则

演示: https://www.sslcertificate.cn/admin/login/
攻击脚本:
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=1';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=2';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=3';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=4';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=5';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=6';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=7';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=8';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=9';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=10';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=11';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=12';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=13';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=14';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=15';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=16';
(new Image).src='https://www.sslcertificate.cn/admin/login/?_no_cache=17';
....

6

vwhenx2

2015-01-20 10:25:25 +08:00

没有，说完了

7

thinkxen

2015-01-20 10:27:15 +08:00 via Android

试试csf这个软件防火墙吧

8

ryd994

2015-01-20 10:41:37 +08:00 via Android

iptables 限制并发，限制syn频率，限制psh频率，如果过高就加conntrak或者写log，ban ip
应用里限制请求频率
再不行就上cdn，但是cdn遇到大规模顶不住也会回源

9

Jarett

2015-01-20 10:46:44 +08:00

如果本身就是动态的接口被刷了，用CDN是没有用的，因为动态内容CDN还是要回源获取的，比如各种查询搜索等。建议找找对方刷的是哪个接口，如果自己找不出，或者用网站卫士安全宝之类的看看能否分析出来，比流量攻击好处理。

10

ryd994

2015-01-20 10:46:47 +08:00 via Android

@xoxo 这为什么防CC？
@twl007 你这是应用层的，根本不是一回事

11

xoxo

2015-01-20 10:52:11 +08:00

@ryd994
用了几个模块, 顺便改了下NGINX一些底层, 实现了这个功能

12

ryd994

2015-01-20 10:53:04 +08:00 via Android

@Jarett 有用，因为这是针对TCP协议的攻击，cdn对动态内容相当于反代，足够了。

13

ryd994

2015-01-20 11:30:34 +08:00 via Android

@xoxo 这是针对TCP协议的攻击，nginx模块有什么用，內核模块还可以说说

14

xoxo

2015-01-20 11:37:13 +08:00

@ryd994 那就只能硬防了

15

tanywei

2015-01-20 23:00:49 +08:00

上CDN永远是最省事的。

16

gamexg

2015-01-21 09:09:28 +08:00

TCP PSH+ACK 的话上CDN完全可以防的.

17

Jarett

2015-01-21 14:33:56 +08:00

@ryd994 哦，之前以为楼主是被cc，我说的是cc。

18

k88k88k88k88sx

2015-02-06 13:45:08 +08:00

@xoxo 能否请教一下是你是用了哪些模块实现的？大概指点下我自己研究研究~

关于 · 帮助文档 · 博客 · API · FAQ · 我们的愿景 · 实用小工具 · 902 人在线 最高记录 6543 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 35ms · UTC 22:03 · PVG 06:03 · LAX 15:03 · JFK 18:03
Developed with CodeLauncher
♥ Do have faith in what you're doing.