遭受流量攻击后的应战与总结

/ 49评 / 0

Erro's Blog 作为一个成立刚刚满两个月的小站,不知道侵犯了谁的利益最近承受了巨大的流量攻击压力。由于先前使用了Webluker的CDN分发,源站流量增长并不明显,大约一天才60M左右,但是随着12-07号Webluker给我预警,一天流量达到19166.38MB之多以后,终于引起我这个从来没见识过流量攻击的小站菜鸟站长的注意。紧接着12-07号Webluker免费CDN赠送的30G流量提前耗尽自动切回源站给我的压力倍增,源站统计流量达到了6660.42MB,也可能使12-06号是流量高峰正好由Webluker给我挡住才避免了更大的悲剧发生。

虽然我使用的空间没有限制流量上限,可是EWSIDC有一个独特的流量费用计算方法,2G以下流量是免费的,2G-10G每G按照购买主机时的出价计算费用(我当时和许多人一样都选择了最低的一元钱来注册),10G-20G是2倍的出价计算费用,以此类推,达到80G流量以后按照1元/G来计算费用。我这个小站一个月能达到5G正常流量那就是很不错的成绩了,以前总是期盼着流量能升上来,可系没想到是通过这样的方法。

左图显示的是EWSIDC这一个计费周期的流量显示这次攻击在图中显示应该是从11-28号开始的,明显的流量提速了。12-05日下午Webluker流量用尽切回源站,导致5号开始EWSIDC的流量大幅上涨,6日凌晨结算一看已经5443.84MB了,当时虽然大吃一惊但是倒也淡定,以为只是一般的盗链于是在博客.htaccess文件里添加语句做了一下防盗链措施。7日凌晨结算一看6日的流量竟然有6660.42MB,我擦...真的吓了一跳,这还了得。当时真的怕了直接关站没有考虑一丝一毫的后果和别的解决方法,迷迷糊糊中赶紧睡觉打算起床以后再论其他。

12-07号开始真正想办法打算解决这个问题。先给EWSIDC的客服打电话了解此事,客服却说并不了解...并且来了一句“这点流量对于服务器不算什么,只要不影响服务器运行的流量攻击都技术部不会主动处理”。难道6G多的流量攻击还不算攻击吗!搞的服务器很强大一样啊!这一句听的我火大...但是却无可奈何,谁让自己租别人服务器上的一个空间呢,哪怕要是自己手里的VPS就有权限直接禁止攻击IP访问了啊...这么一想突然灵光一现,对啊,攻击者的IP我总要知道吧,再怎么样也要分析一下攻击者是为何而攻击我博客。

决心一定就立即给技术服务客服发邮件索取空间记录LOG文件,回复让我很是尴尬,因为LOG文件就存在空间里,直接FTP即可访问到LOG文件夹,去那里一看发现还挺全的,一直保存有15天的所有访问记录和ERROR错误记录。打开流量最多的12-06号日志文件,发现果真是流量攻击,而且一看就是通过肉鸡实现的,明显的几个IP是受到攻击者控制的,而且从记录上分析肉鸡并不多,大约也就不到20个可见攻击者功力并不深厚(如果是专业的...估计我网站早就已经挂线了...EWSIDC那一台服务器估计也要遭殃)。但是对我这个小站来说这十来个机器人全部访问那个存在UPLOAD目录下唯一的MP3文件也够让我喝一壶了...一个MP3文件4.5MB,攻击大约是10次/S的访问量,也难怪12-06号有那么大的流量了...从记录文件看,12-05号就已经开始集中攻击我那个MP3文件导致流量飞涨,而我却没有发现!不得不说这一次事件锻炼了我,特别是处置突发事件的能力。经过在几个WordPress交流群里同志们的建议下,我在12-07号下午开始切换解析至域名停放页面(一个国外免费空间,只能放置HTML静态页),打算缓上几天再开放博客访问。但是昨天晚上12-08号百度蜘蛛出动了...今天12-09号实在憋不住了,总不能眼睁睁看着好好的博客被K掉吧。于是今天上午一个冲动就改了解析切回了源站,顺便看下攻击停止了没有。经过一天的观察,攻击并没有停止但是没有先前那么猛烈了,大约隔上5s才有一次访问,而且肉鸡并不知道我已经删除了那个MP3文件,还在猛攻那个UPLOAD文件链接,于是为了避免404页面产生的流量(虽是404页面要比访问那个MP3流量小许多,但是也要至少20K呢),我放置了一个0KB的同名MP3在原目录下供攻击者访问,这样访问到顶多1K流量不会影响大局。于是这就形成了我自己应对流量攻击的策略:查看LOG文件找到攻击者的意图(明显我认为攻击我站点的人是一个菜鸟,且正在拿我的站练手呢),然后查看攻击者集中访问的(集中攻击)源文件,一般都是较大的文件,直接删之用0KB的新文件替代源文件让攻击者继续访问这样不会产生流量或者让访问流量最小化。

虽然现在攻击仍在持续,但是我已经处之泰然...我不相信攻击者会盯在我这个小博客上更久的时间,如果不行,我就直接换空间甚至换域名,因为目前我能做的也只有这么多了...

附:12-10日零时查询了12-09日的流量统计,具体数值为129.04M,完全属于正常流量,说明该应对方法完全得当并且攻击者目前虽然仍在继续但是对我已经没有了威胁,这次攻击对我的启发很大,以后图片和音频等较大流量占用的文件必须使用外链而非存在本地,使菜鸟攻击者无从下手才是关键。绝不能对这种人进行任何妥协,今早再次敦促空间商技术员给我解决此事,一定要封禁攻击者IP我才罢手。

  1. 踏沙行说道:

    总结的好,一步一步发现问题。。。

  2. 胡敏说道:

    学习了。

  3. quicl说道:

    ❗ 心情笔札 做的二级域名?

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注