事情开始
早上10:23分时发现攻击行为,我判断为海外机器大量请求,立刻中断了海外的解析,但发现事情尚未结束,于是才发现这是一场蓄意而为的攻击行为
事情经过
10:23 发现攻击
10:33 阻断海外
10:47 全部端口转发到另一台机子上
10:52 中断站点所有解析
10:55 登录后台查看所有攻击IP
11:00 全面封锁攻击IP
11:12 开启金盾中级防护
11:22 宝塔WAF自动防护策略启动
11:35 锁定全部攻击IP
11:42 记录下全部IP 恢复站点全部解析
11:50 将全部攻击证据提交至阿里云客服
12:39 阿里云回复进行确认证据
12:53 阿里云进行所有参与攻击的阿里云机器封机处理
13:57 阿里云受理本次举报,并对所有涉事账号进行追查
13:02 站点发布被CC公告并保留一切法律诉讼权利行为
13:32 已经将所有攻击IP精准实施封锁 并拉入黑名单拦截
13:35 服务器陆续恢复正常 但攻击尚未停止 仍然在继续当中
13:41 攻击者已经停止了全部攻击行为,目前尚未找到凶手
处理方案
本站先是通过阻断所有海外IP来源来减轻服务器负载压力,然后发现非海外IP为主力攻击,于是进行80端口转发 暂停443端口 然后通过开启金盾防护策略进一步进行防护,经过日志分析比对发现本次攻击并没有进行任何伪造蜘蛛UA发动,通过IP源追踪我们很快的就锁定了几台阿里云机器进行攻击,此时我做的不是立刻汇报阿里云 ,而是先保留证据 然后封锁这台机子对我站点的全部请求,然后这台阿里云攻击主力机器,对站点威胁为0的时候 开启了宝塔的浏览器验证 为什么要开启浏览器验证呢? 前面我们说了他并没有伪造UA实现攻击 所以我开启了浏览器验证 并很快的阻断了这次CC攻击 然后恢复了站点全部解析 并同一时间迅速提交证据反馈给阿里云客服 同时并发文 提示那些非法攻击的人 此行为是违法的必将引起重视来提警示作用。
当前状态
当前状态是在我发文之后已经停止了CC攻击,但是尚未接收到任何攻击方的道歉行为,可能出于不能出面等行为尚未进行道歉。
站点损失
1.站点高负载时长 11小时
2.站点蜘蛛抓取耗时长了40秒
3.预计损失IP数量 5IP/小时
尚未造成任何经济损失
总结
各位站长当遭遇CC攻击的时候 一定要先阻断海外 来确认是否海外机器进行攻击 如果阻断了海外机器没有效果立刻删除所有解析 并暂时将国内机器解析到其他服务器上做均衡,然后回到主机器制作一个防护策略来保证站点的稳定,并观看站点日志来封锁所有疑似攻击的IP,并发文警告攻击者,保证自身站点的合法权益。同时并像可以追踪到的机子厂商反馈这个问题,一般大厂都会非常重视这个问题。