DDOS 攻击的防范教程 - 阮一峰的网络日志

link之家

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

二、DDOS 的种类

DDOS 不是一种攻击，而是一大类攻击的总称。它有几十种类型，新的攻击方法还在不断发明出来。网站运行的各个环节，都可以是攻击目标。只要把一个环节攻破，使得整个流程跑不起来，就达到了瘫痪服务的目的。

其中，比较常见的一种攻击是 cc 攻击。它就是简单粗暴地送来大量正常的请求，超出服务器的最大承受量，导致宕机。我遭遇的就是 cc 攻击，最多的时候全世界大概20多个 IP 地址轮流发出请求，每个地址的请求量在每秒200次~300次。我看访问日志的时候，就觉得那些请求像洪水一样涌来，一眨眼就是一大堆，几分钟的时间，日志文件的体积就大了100MB。说实话，这只能算小攻击，但是我的个人网站没有任何防护，服务器还是跟其他人共享的，这种流量一来立刻就下线了。

本文以下的内容都是针对 cc 攻击。

三、备份网站

防范 DDOS 的第一步，就是你要有一个备份网站，或者最低限度有一个临时主页。生产服务器万一下线了，可以立刻切换到备份网站，不至于毫无办法。

备份网站不一定是全功能的，如果能做到全静态浏览，就能满足需求。最低限度应该可以显示公告，告诉用户，网站出了问题，正在全力抢修。我的个人网站下线的时候，我就做了一个临时主页，很简单的几行 HTML 代码。

这种临时主页建议放到 Github Pages 或者 Netlify ，它们的带宽大，可以应对攻击，而且都支持绑定域名，还能从源码自动构建。

四、HTTP 请求的拦截

如果恶意请求有特征，对付起来很简单：直接拦截它就行了。

HTTP 请求的特征一般有两种：IP 地址和 User Agent 字段。比如，恶意请求都是从某个 IP 段发出的，那么把这个 IP 段封掉就行了。或者，它们的 User Agent 字段有特征（包含某个特定的词语），那就把带有这个词语的请求拦截。

拦截可以在三个层次做。

（1）专用硬件

Web 服务器的前面可以架设硬件防火墙，专门过滤请求。这种效果最好，但是价格也最贵。

（2）本机防火墙

操作系统都带有软件防火墙，Linux 服务器一般使用 iptables 。比如，拦截 IP 地址 1.2.3.4 的请求，可以执行下面的命令。

$ iptables -A INPUT -s 1.2.3.4 -j DROP

iptables 比较复杂，我也不太会用。它对服务器性能有一定影响，也防不住大型攻击。

（3）Web 服务器

Web 服务器也可以过滤请求。拦截 IP 地址 1.2.3.4 ，nginx 的写法如下。

location / { deny 1.2.3.4;

Apache 的写法是在 .htaccess 文件里面，加上下面一段。

<RequireAll> Require all granted Require not ip 1.2.3.4 </RequireAll>

如果想要更精确的控制（比如自动识别并拦截那些频繁请求的 IP 地址），就要用到 WAF 。这里就不详细介绍了，nginx 这方面的设置可以参考这里和这里。

Web 服务器的拦截非常消耗性能，尤其是 Apache。稍微大一点的攻击，这种方法就没用了。

五、带宽扩容

上一节的 HTTP 拦截有一个前提，就是请求必须有特征。但是，真正的 DDOS 攻击是没有特征的，它的请求看上去跟正常请求一样，而且来自不同的 IP 地址，所以没法拦截。这就是为什么 DDOS 特别难防的原因。

当然，这样的 DDOS 攻击的成本不低，普通的网站不会有这种待遇。不过，真要遇到了该怎么办呢，有没有根本性的防范方法呢？

答案很简单，就是设法把这些请求都消化掉。30个人的餐厅来了300人，那就想办法把餐厅扩大（比如临时再租一个门面，并请一些厨师），让300个人都能坐下，那么就不影响正常的用户了。对于网站来说，就是在短时间内急剧扩容，提供几倍或几十倍的带宽，顶住大流量的请求。这就是为什么云服务商可以提供防护产品，因为他们有大量冗余带宽，可以用来消化 DDOS 攻击。

一个朋友传授了一个方法，给我留下深刻印象。某云服务商承诺，每个主机保 5G 流量以下的攻击，他们就一口气买了5个。网站架设在其中一个主机上面，但是不暴露给用户，其他主机都是镜像，用来面对用户，DNS 会把访问量均匀分配到这四台镜像服务器。一旦出现攻击，这种架构就可以防住 20G 的流量，如果有更大的攻击，那就买更多的临时主机，不断扩容镜像。

六、CDN

CDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种方法，可以用来防御 DDOS 攻击。

网站内容存放在源服务器，CDN 上面是内容的缓存。用户只允许访问 CDN，如果内容不在 CDN 上，CDN 再向源服务器发出请求。这样的话，只要 CDN 够大，就可以抵御很大的攻击。不过，这种方法有一个前提，网站的大部分内容必须可以静态缓存。对于动态内容为主的网站（比如论坛），就要想别的办法，尽量减少用户对动态数据的请求。

上一节提到的镜像服务器，本质就是自己搭建一个微型 CDN。各大云服务商提供的高防 IP ，背后也是这样做的：网站域名指向高防 IP，它提供一个缓冲层，清洗流量，并对源服务器的内容进行缓存。

这里有一个关键点，一旦上了 CDN，千万不要泄露源服务器的 IP 地址，否则攻击者可以绕过 CDN 直接攻击源服务器，前面的努力都白费。搜一下" 绕过 CDN 获取真实 IP 地址 "，你就会知道国内的黑产行业有多猖獗。

cloudflare 是一个免费 CDN 服务，并提供防火墙，高度推荐。我还要感谢 v2ex.com 的站长 @livid 热情提供帮助，我现在用的就是他们的 CDN 产品。

更新（6月27日）

攻击者看来订阅了我的微博。昨天这篇文章发布没多久，我就又遭受了攻击，他绕过CDN直接攻击源服务器（我不知道 IP 地址怎么泄漏的），流量还大过上一次。

感谢腾讯云的朋友，提供了一个高防 IP，使得网站可以重新上线。现在，我的防护措施是，源服务器前面有 CDN。如果攻击域名，CDN 可以挡住；如果直接攻击源服务器，我买了弹性 IP ，可以动态挂载主机实例，受到攻击就换一个地址。这只是一个技术博客，内容都是免费的，要防到这种地步，我也是无语了。

一直跟踪您的博客，一晃已经5，6年了，最初从您翻译的《黑客与画家》认识了您，时间真快啊！

这是第一次给您留言，您再次被攻击，然后又把防御方法和被攻击的心得写出来而且不畏黑客，这使我特别的感动!
更使得我更加敬重您，您让我看到了一颗清澈、纯洁、无私、无畏的心！非常想认识您，我在大连，如果有空您来这边开会或旅行的话，提别想请您吃饭！

最后想对攻击您的黑客说两句，“差不多行了,闹着玩也有个底线！”

cc其实不可怕，高防算法都可防御，主要是误杀率的问题
cdn防ddos有个问题，共有资源没有打的必要，自缓存资源需要自己购买，也有ddos的危险，而且cdn按量付费，恐怕会有问题
至于源服务器的事，类似阿里云之类都有内网保护，直接两台一台外网，一台内网
或者外网服务器和源服务器再加一层代理，haproxy xinetd之类转发，肯定不会暴露ip
ddos防到底就是暴力，没啥大办法。你可以知道我遭受了什么。。。。

这种临时主页建议放到 Github Pages 或者 Netlify，它们的带宽大，可以应对攻击，而且都支持绑定域名，还能从源码自动构建。

-------------------------------------

这招 "祸水东引" 用的好，不愧是老湿机，佩服佩服！

你怕不是在逗吧？
https://help.aliyun.com/document_detail/63646.html?spm=a2c4g.11186623.2.5.bNCDSA#h2-u8BA1u8D39u65B9u5F0F1
看看价格？？
上个cf 200刀套餐就够了，漏源ip是运维配置的问题

我防止野蛮攻击的方法就是层层防御，在无其它前端服务器（CDN 等）的情况下，利用 Nginx 进行 IP 请求限制，开启 PHP 的缓存（将输出的 HTML 网页进行缓存），在 MariaDB 进行数据库查询缓存。当检测到攻击时，系统会进入紧急状态，在这种情况下，网站将会降低服务质量，例如禁止访问搜索页面，禁止注册新用户，甚至禁止直行任何 Post 请求。我不是真正搞技术的，并且一直使用 WordPress，因此防范攻击的手法非常拙劣。用上了 CF 之后，那倒是可以抵挡非智能的攻击，只要启用 reCAPTCHA，那些不会解决 reCAPTCHA 的攻击机就变得毫无作用了。哎，防止攻击这事儿也只能是魔高一尺道高一丈。