V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
bobopu
V2EX  ›  云计算

受到 DDOS 攻击,为何是 nginx 的页面?

  •  
  •   bobopu · 2014-04-15 16:11:45 +08:00 · 9143 次点击
    这是一个创建于 3880 天前的主题,其中的信息可能已经有所发展或是发生改变。
    中午正在睡觉,收到阿里云云盾发来的报警短信,服务器收到DDOS攻击,攻击类型为:
    四层攻击: TCP连接攻击
    七层攻击: HTTP Flood(CC攻击)
    正在执行流量清洗,ip大约有60多个。

    网页已经打不开了,提示
    502 Bad Gateway
    nginx/1.5.0

    问题是服务器跑的是IIS,并没有安装nginx,怎么会出现nginx的提示呢?
    54 条回复    2016-08-07 14:31:09 +08:00
    lsylsy2
        1
    lsylsy2  
       2014-04-15 16:17:28 +08:00
    这个Nginx应该就是“云盾”的一部分,流量走他那反代之后再给你。
    bobopu
        2
    bobopu  
    OP
       2014-04-15 17:05:38 +08:00
    @lsylsy2 这个我得问下阿里云是不是他们用了nginx。另外,用火狐打开页面后网址后会出现一串
    ?ccepezynrgtmpvhf的东西,而且一直很快的在自动刷新。。。。
    lsylsy2
        3
    lsylsy2  
       2014-04-15 18:56:42 +08:00
    @bobopu 也是,阿里云理论上应该有Tengine……不过还是比较大的可能性是他的云盾。
    问号后面那些东西应该是防CC,原理记得是在网页里面写Javascript,攻击脚本(比如基于wget的)无法跳转,就会被封掉。
    nilai
        4
    nilai  
       2014-04-15 20:06:18 +08:00   ❤️ 1
    60多个IP的攻击还叫攻击么..
    lsylsy2
        5
    lsylsy2  
       2014-04-15 20:08:29 +08:00   ❤️ 1
    @nilai 国内服务器(比如阿里云)10M带宽不小了吧?
    国外找个VPS,千兆端口,一个IP,叫不叫攻击?
    damon5
        6
    damon5  
       2014-04-15 20:27:44 +08:00
    正常啊。。。
    xoxo
        7
    xoxo  
       2014-04-15 20:47:35 +08:00
    楼主如果使用了WAF就会出现此情况
    bobopu
        8
    bobopu  
    OP
       2014-04-15 21:50:54 +08:00 via Android
    @lsylsy2 问了阿里云说这个东西不是他们的,因为同时用了安全宝,安全宝说nginx是他们的,但问号后面那些东西不是他们的。安全宝说他们免费版没有抗d和抗cc功能。
    bobopu
        9
    bobopu  
    OP
       2014-04-15 21:55:40 +08:00 via Android
    @xoxo 对,用的是安全宝,下午问他们了,说这个页面就是他们的,但没说为什么出现这个页面。至于问号后面那一串东西说不是他们的。
    lsylsy2
        10
    lsylsy2  
       2014-04-15 21:56:11 +08:00
    @bobopu 我只知道一个叫“金盾”,在很多机房都有的防火墙有这么个机制,具体的我也不清楚……这叠了好几层最容易不清不楚……
    bobopu
        11
    bobopu  
    OP
       2014-04-15 22:17:11 +08:00 via Android
    @lsylsy2 金盾这个很有名啊,不过阿里云应该用的不是金盾。是啊,我这叠了三层,除了云盾和安全宝,服务器上还有安全狗。好在,这会攻击已经结束了。
    pubby
        12
    pubby  
       2014-04-15 22:41:58 +08:00
    @lsylsy2 几年前机房有金盾,不过?参数不是这种形式(不过可能跟版本有关),还造成大量误判,百度收录页面大量变成这种网址,于是强制要求直连服务器 -_-

    现在几台服务器前无此类设备,上个月一个小屁孩QQ过来敲诈收保护费,不给就用多少多少肉鸡搞残网站,开价每月5、6K,理由是相当于雇个技术人员做网络安全。
    一番恐吓后流量和CC攻击就过来了,流量(主要是UDP)交给机房处理,自己写个识别脚本对抗CC(10秒内识别,自动屏蔽ip 10分钟)。
    几个小时一番对抗后,估计小屁孩没耐性了,偃旗息鼓作罢了。

    最近几天也持续遭受cc攻击中,这次主要来自几个C段,直接整段封了,可能有误伤,等有空了golang写个简单的清洗网关。
    bobopu
        13
    bobopu  
    OP
       2014-04-15 22:56:06 +08:00
    @pubby 我这边服务器倒是没进来多少流量,流量反而比没攻击的时候少了。(估计是被阿里云云盾给挡掉了吧)服务器上的安全狗日志里也没提示出现攻击。所以下午那会让我根本无从下手,到底是怎么回事。你这种直连进来的,好像有个腾飞防火墙说是抗CC有效果,具体没试过。
    pubby
        14
    pubby  
       2014-04-15 23:06:04 +08:00
    @bobopu CC时,你都502错误了,流量肯定会少不少

    我想识别->清洗也是周期性发生的,清洗动作前进来的CC对正常服务可能就有影响了(如果本身web服务处理能力不强的话)。
    xoxo
        15
    xoxo  
       2014-04-15 23:23:36 +08:00
    楼主的智商堪忧啊,既然用了安全宝的CDN,那么云盾里给的IP就只是安全宝的CDN节点IP了,
    防火墙只能二选一,且行且珍惜
    bobopu
        16
    bobopu  
    OP
       2014-04-15 23:29:02 +08:00
    @xoxo 我看了下云盾里拦截的IP只有1个IP是安全宝的节点,其他的都不是。
    xoxo
        17
    xoxo  
       2014-04-15 23:32:08 +08:00
    @bobopu 嘴贫,你去掉安全宝试试?
    bobopu
        18
    bobopu  
    OP
       2014-04-15 23:32:46 +08:00
    @pubby 下午问安全宝是不是给我回源了,他们说没有回源。云盾是中午提示开始清洗的,晚上9点提示清洗结束,这中间没说是不是周期性的。那就是说云盾没有拦截住这些CC攻击导致502了吗?
    bobopu
        19
    bobopu  
    OP
       2014-04-15 23:37:07 +08:00
    @xoxo 啊,我没有撒谎的。因为安全宝此前和云盾一直配合的挺好,用了半年多还没出过问题。后来我也怀疑是云盾把安全宝节点给当挡了,逐一查看了下云盾提示的拦截IP又和安全宝给我分配的9个节点对照了一下,发现只有一个四川的节点被云盾误判的,其他的ip里没见有安全宝了。如果真是安全宝的原因,那有可能就是安全宝还有给我分配的节点没有写出来。
    pubby
        20
    pubby  
       2014-04-15 23:37:57 +08:00
    @bobopu 没用过阿里云的。如果按照 @xoxo 所说,真的把安全宝节点ip给清洗掉了,那 @#$%^&.....
    bobopu
        21
    bobopu  
    OP
       2014-04-15 23:40:46 +08:00
    @pubby 这种可能性的确是有。我明天再问下安全宝这些Ip是不是他们的节点。
    xoxo
        22
    xoxo  
       2014-04-15 23:42:26 +08:00
    @bobopu 别再问了,就是这原因。凭阿里云云盾的能力,小打小闹不在话下。何以非要用两家的产品,你封我然后我封你。
    bobopu
        23
    bobopu  
    OP
       2014-04-15 23:47:47 +08:00
    @xoxo 那我如果想给整站CDN加速的话,该怎么办呢?会不会又被云盾给识别为攻击了?
    pubby
        24
    pubby  
       2014-04-15 23:55:43 +08:00   ❤️ 1
    @bobopu CC是有特征的,CDN会让特征更加明显,这你让云盾到底是清洗呢还是不清洗

    如果cdn不带抗CC,那就悲剧了

    你可以把静态资源分离出去,用CDN加速

    动态的还是走云盾吧,阿里云的网络质量难道差到需要CDN?
    bobopu
        25
    bobopu  
    OP
       2014-04-16 00:02:53 +08:00
    嘿嘿,阿里云的网络质量倒是不错,但由于我的这个应用需要迅速打开(不能超过2秒),不用安全宝的话,阿里云在某些地区的延迟还是稍有些大。安全宝客服说他们带抗CC的CDN价格是每年30万,可以打折。
    xoxo
        26
    xoxo  
       2014-04-16 00:56:35 +08:00   ❤️ 1
    @bobopu BGP+CDN = 脱掉内内放屁
    bobopu
        27
    bobopu  
    OP
       2014-04-16 01:24:53 +08:00
    @xoxo 嘿嘿,您真直白。。不过话也是有道理,明天再测试下去掉安全宝后的访问速度。
    xdeng
        28
    xdeng  
       2014-04-16 08:03:44 +08:00 via iPhone
    生病乱投医的感觉。我觉得一个阿里云盾足已
    bobopu
        29
    bobopu  
    OP
       2014-04-16 10:00:00 +08:00
    @xdeng 额。。终于让我找到问题所在了,是一启快的问题,安装一启快后,与云盾发生冲突,这些被拦截的IP是一启快的节点……卸载一启快后恢复正常。
    xdeng
        30
    xdeng  
       2014-04-16 10:03:29 +08:00
    @bobopu 我滴天啊。 你到底装了多少个 防攻击的东西啊。。。
    hslx111
        31
    hslx111  
       2014-04-16 10:31:43 +08:00
    前面会有一层nginx做反向代理的,后面才是你自己的服务器
    zjgood
        32
    zjgood  
       2014-04-16 10:57:22 +08:00 via Android   ❤️ 1
    @bobopu 你要两秒内打开何须借助安全宝等软件的自动优化,手动的才是王道,参见gtmetrix.com
    bobopu
        33
    bobopu  
    OP
       2014-04-16 11:35:28 +08:00
    @xdeng 额,这个不是防攻击的,是加速的网站的,整合js这些。。
    bobopu
        34
    bobopu  
    OP
       2014-04-16 12:02:00 +08:00 via Android
    @zjgood 这个测试给了95分和A,算高还是低?
    wwek
        35
    wwek  
       2014-04-16 12:39:47 +08:00
    cc攻击都是小菜啊. 少年来几十G UDP如何`
    wwek
        36
    wwek  
       2014-04-16 12:40:53 +08:00
    安全宝应该和阿里云 云盾谈好,放入白名单.不过```
    如果免费版的不防cc,那么`````````
    wwek
        37
    wwek  
       2014-04-16 12:41:57 +08:00
    我插 三层```

    安全宝>云盾>一启快
    楼主你厉害`
    bobopu
        38
    bobopu  
    OP
       2014-04-16 13:03:50 +08:00 via Android
    @wwek 昨晚看了个年初阿里云自身遭攻击,云盾自动防御160G攻击的帖子,感觉好拽。不过云盾给客户的防护是5G,舍不可增加。一启快不是防火墙,用的时候也没打开他的cdn加速。感觉阿里云不会和安全宝谈好,因为阿里云自己的cdn服务也开卖了。。
    wwek
        39
    wwek  
       2014-04-16 13:21:20 +08:00
    @bobopu 阿里云提供免费的 waf cc防护 流量方面抗到 5g 都是免费的.说实话很不错了.
    cc攻击比较容易防御. 纯udp流量攻击,就只有拼带宽了. 安全宝 防御5G的 cc或者udp什么的. 价格在1万多一年. 不超过5G的防御.这个价钱.
    wwek
        40
    wwek  
       2014-04-16 13:23:44 +08:00
    @bobopu 说实话,大多数网站需要一个BGP就ok了.我不需要cdn,又不分发什么大的东西. 一般的网站的静态应用,可以用又拍云,或者七牛.
    大部分的网站,反而需要 7层防御(如cc), 4层防御(如udp包). 至于sql注入,xss什么的,做好自身的安全吧.靠三方waf来防御这个是不科学的.先做好自己的程序安全.
    bobopu
        41
    bobopu  
    OP
       2014-04-16 15:31:33 +08:00
    @wwek 通过这个帖子真是学到了不少东西。
    zjgood
        42
    zjgood  
       2014-04-16 15:52:22 +08:00 via Android
    @bobopu 两个都是95?还算不错,你得撤销安全宝,一启快来裸测哟。你可以测测我的得分,裸测99,99
    http://izj.pw/
    bobopu
        43
    bobopu  
    OP
       2014-04-16 16:11:30 +08:00
    @zjgood 哇,你这个好快!真是风驰电掣般的打开了,和没有图片也有关系吧,不过加载速度的确是快到爆。我的测了下左边的是95分A,右边是90分A,js和图片缓存在七牛,另外还有个统计系统的js需要调用人家的,所以没法合并在一起。
    低分低的两个地方提示:
    Avoid a character set in the meta tag
    The following resources have a character set specified in a meta tag. Specifying a character set in a meta tag disables the lookahead downloader in IE8. To improve resource download parallelization, move the character set to the HTTP Content-Type response header.

    Specify a Vary: Accept-Encoding header
    The following publicly cacheable, compressible resources should have a "Vary: Accept-Encoding" header:

    这个具体是什么意思,需要如何改进呢?
    simohayha
        44
    simohayha  
       2014-04-16 18:07:58 +08:00
    为什么不用阿里云自己的CDN呢?
    bobopu
        45
    bobopu  
    OP
       2014-04-16 18:27:51 +08:00 via Android
    @simohayha 贵啊。
    wwqgtxx
        46
    wwqgtxx  
       2014-04-16 19:35:06 +08:00 via Android
    @zjgood 的确好快,用3g网络都有打开度娘的感觉
    zjgood
        47
    zjgood  
       2014-04-16 23:32:23 +08:00
    @bobopu css不要放在七牛,就放在阿里云本地,不然网页渲染时还需要等待七牛的域名解析和响应以获取css,js也可以放在本地。图片可以放在七牛。他给的第一个建议是让你在html文档中指定字符编码信息,我是这样制定的,<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />,具体你可以查看izj.pw的html代码,第二个建议可能是让你不要在静态文件后增加查询字符串,比如说izj.pw/jquery.js?ver=1234这种样子,只需要izj.pw/jquery.js就行了。具体请看https://developers.google.com/speed/docs/best-practices/caching#LeverageProxyCaching
    zjgood
        48
    zjgood  
       2014-04-16 23:33:05 +08:00
    @wwqgtxx 嘿嘿,我这周末测试阿里云OCS,看看能不能更快~谢谢夸奖
    bobopu
        49
    bobopu  
    OP
       2014-04-17 07:24:01 +08:00 via Android
    @zjgood 万网的这个空间速度确实快,千兆带宽啊,就是流量有些少,不知能额外加流量不?
    sadara
        50
    sadara  
       2014-04-17 08:33:38 +08:00 via iPhone
    阿里云主域名用cdn有备案被取消的风险…
    zjgood
        51
    zjgood  
       2014-04-17 08:55:24 +08:00 via Android
    @bobopu 静态文件全部放又拍云,流量完全够用
    bobopu
        52
    bobopu  
    OP
       2014-04-17 09:23:07 +08:00 via Android
    @sadara 如果添加一个二级域名test绑定到阿里云的话,可以不被取消备案吗?
    bobopu
        53
    bobopu  
    OP
       2014-04-17 09:25:11 +08:00 via Android
    @zjgood 我这每天pv在80万左右,不敢用收费的cdn,本来就预算不多。。
    abc123ccc
        54
    abc123ccc  
       2016-08-07 14:31:09 +08:00
    @bobopu 你的网站是哪个?发来瞧瞧。 80 万的 PV ,个人网站,算是相当的牛 B 呀。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1013 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 21:06 · PVG 05:06 · LAX 13:06 · JFK 16:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.