朋友的一个网站,近期遭受大量HTTP Flood 攻击,总请求数一度达到了1.5B+,最恐怖的一次,峰值直接拉到5000次请求,我结合他的实际案例,进行了分析,并梳理了几条建议
遵循安全原则
- 避免与愚蠢之人争辩
- 特别要警惕网络中的潜在危险
- 谨慎对待此类网络组织。
确保CDN防护策略
一定要选择具备安全防护的 CDN,即 SCDN。让我分享一个我自己的典型“反面案例”:
最开始,我使用的是多吉云的 CDN,该服务的封顶措施仅针对流量,无法根据请求数量进行有效限制。在遭遇 CC 攻击时,虽然我设置了 QPS 限制,但请求数量在瞬间被消耗殆尽。由于结算存在延迟,只需在 5 分钟的结算延迟窗口内持续刷流量,就完全无法触发封顶设置。向客服咨询后,他们的答复是由于技术限制。最终,封顶机制未能生效,额度用尽后,账户立即进入欠费状态。在整个 CC 攻击过程中,平台并未提供任何实质性的防护措施。
当我联系客服时,客服建议我将攻击 IP 加入黑名单,这样就不会计费。然而,黑名单的容量有限,根本无法应对大规模攻击。结果,我不仅未能有效防住攻击,甚至未能及时下线,还额外“亏”了 100~200 元的费用。值得注意的是,这笔费用足够我在某大厂的 SCDN 个人版上使用一年(该大厂 SCDN 一年的费用仅为 100.98 元)。
一般来说,普通 CDN 是按所有流量和请求收费,包括正常流量和攻击流量;而 SCDN 则是在安全清洗后,仅对正常流量和请求进行计费,更加友好于钱包和安全。目前,我已将网站迁移到 WAF.SB。在实际使用中,基于 FlexCDN 系统的细致规则配置,在抵御 DDoS 攻击方面发挥了重要作用。
配置可靠WAF策略
在部署 SCDN 后,务必搭配可靠的 WAF(Web 应用防火墙)规则。合理的规则能够实现近源清洗,有效减少回源请求,显著减轻源站的负担,同时确保正常流量的顺畅通行。
结合CloudFlare 规则和 IP 黑名单,我成功过滤掉了绝大部分恶意请求,达到了高达 99.8% 的效果。此外,XAY 赞助的 SCDN 收集到的样本也帮助我进一步完善了防御规则。监控数据显示,这次攻击全部采用相似的手法,即构造大量带有不同查询参数的请求。
因此,我建议各位站长在配置 CDN 缓存时尽量忽略查询参数,以提升防护效果。
当然,“世上没有万无一失的防护”。攻击手法不断变化,CDN 节点策略也可能会有同步延迟。因此,建议再叠加本地 WAF,实现双重保护。这样不仅可以及时手动封禁可疑 IP,还能进一步防止恶意请求渗透到源站,提升整体安全性。
暂无评论内容