V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  V2EX

今天晚上目前收到一百多封报警信

  •  
  •   Livid · 2013-08-12 01:08:16 +08:00 · 7944 次点击
    这是一个创建于 4120 天前的主题,其中的信息可能已经有所发展或是发生改变。
    看到大概 100 多个不同的 IP,但是 UA string 一样,这是什么攻击工具呢?
    57 条回复    1970-01-01 08:00:00 +08:00
    Comphuse
        1
    Comphuse  
       2013-08-12 02:24:31 +08:00
    浏览器插件?木马伪造UA?
    chemhack
        2
    chemhack  
       2013-08-12 03:40:58 +08:00
    这不就最普通的CC攻击么。。。 淘宝上10块钱好几千IP。。。
    andybest
        3
    andybest  
       2013-08-12 03:45:17 +08:00
    还是普通的http request? 攻击的什么url?
    Livid
        4
    Livid  
    MOD
    OP
       2013-08-12 04:07:40 +08:00   ❤️ 1
    @chemhack 所以,这种攻击是真的用了全世界各地的很多机器么?
    DH
        5
    DH  
       2013-08-12 04:35:37 +08:00
    搞代理呀,我以前搞过,不过不是攻击别人。

    每天把各个代理网站上的代理服务器地址下载下来,然后挨个测试,维护一个可用的代理池。
    需要的时候,就随机从这里面那代理来用。
    est
        6
    est  
       2013-08-12 08:52:22 +08:00
    @Livid 其实CDN可以试试支持 stale 内容功能。比如访问上游如果 5XX 错误的话,就直接返回最近一次200的内容。现在v2ex的cc攻击导致 mysql 连接过高,这个无解。
    Gawie
        7
    Gawie  
       2013-08-12 08:54:12 +08:00
    @chemhack 很好奇淘宝是按照什么收取费用的,流量? 能给个店铺地址学习下么? ——.——
    winterx
        8
    winterx  
       2013-08-12 08:56:56 +08:00
    难怪我怎么觉得昨天晚上V2EX访问很困难,

    话说NGINX不是可以防御简单CC么?(虽然我用apache)
    halfbloodrock
        9
    halfbloodrock  
       2013-08-12 09:08:14 +08:00
    whois IP能看到是哪家提供商的么? 应该可以向供应商投诉。
    Livid
        10
    Livid  
    MOD
    OP
       2013-08-12 09:08:52 +08:00
    @est 对方其实一直攻击到今天早上。后来调整规则后防住了。
    zhttty
        11
    zhttty  
       2013-08-12 09:14:15 +08:00
    实时上演攻防战么?
    1314258
        12
    1314258  
       2013-08-12 09:23:20 +08:00 via iPhone
    @Livid 很替v2ex担心。牛逼联盟以前也是开论坛得罪黑客了。被人d到把域名卖掉了。中间不是没有被各路神仙打救过。无奈正不能胜斜。
    renyuan1985
        13
    renyuan1985  
       2013-08-12 09:26:41 +08:00
    @1314258 这社会太黑暗了!
    Livid
        14
    Livid  
    MOD
    OP
       2013-08-12 09:31:41 +08:00
    @1314258 没事的。是我们目前硬件不给力(目前 V2EX 就跑在一台机器上),所以就尽量从软件上来解决了。
    1314258
        15
    1314258  
       2013-08-12 09:34:43 +08:00 via iPhone
    @renyuan1985 简直给人d到起不来。而且这个人十分敬业,时刻关注,期间域名转向到163什么,后来换服务器什么,过一段时间又跑过来d。
    Sdhjt
        16
    Sdhjt  
       2013-08-12 10:29:41 +08:00
    被攻击比较严重的话,可以考虑挂到安全宝之类的工具后面。
    iqincai
        17
    iqincai  
       2013-08-12 10:44:14 +08:00
    昨晚 500 Internal Server Error
    xdata
        18
    xdata  
       2013-08-12 10:48:43 +08:00
    昨晚的确是上不了... 一直500...
    olnyshe
        19
    olnyshe  
       2013-08-12 10:50:09 +08:00
    最近几天晚上一直都有攻击吧..每天晚上的一段时间都打不开或者极慢...
    LokiSharp
        20
    LokiSharp  
       2013-08-12 10:57:53 +08:00
    貌似,每天晚上 8-9 点都会 500 。。。
    dreampuf
        21
    dreampuf  
       2013-08-12 11:00:12 +08:00
    取证,报警
    soli
        22
    soli  
       2013-08-12 11:15:11 +08:00
    不是自动领取每日登录奖励的脚本么?

    我的是每小时访问一次。
    zhttty
        23
    zhttty  
       2013-08-12 11:24:54 +08:00
    @Livid 要从硬件上解决,软件上不过是杯水车薪。。。OSI的第2、3层过滤才是根本性方案。
    Mihuwa
        24
    Mihuwa  
       2013-08-12 11:47:44 +08:00
    个人觉得以后部署了NB的防御,@livid 最好不要在v2ex上公布出来啊,公布新的防御多少会对那些好动的骚年们产生一些触动,会不自觉地来试试防御是有多强……毕竟再自信的软件防御只能针对具体已知的攻击,而骚年们的手段,往往千奇百怪啊。

    实在不想每次打开v2ex就500……
    Livid
        25
    Livid  
    MOD
    OP
       2013-08-12 11:49:52 +08:00
    @Mihuwa 嗯,你猜对了。我发这样的帖子出来,确实就是想尽快能够把这些家伙钓出来,然后测试效果,然后根据测试再进一步优化。
    dorentus
        26
    dorentus  
       2013-08-12 11:52:53 +08:00
    @soli **每日**登录奖励为啥要每小时访问一次。。。
    est
        27
    est  
       2013-08-12 12:08:13 +08:00   ❤️ 3
    @Livid 可以参考VAC的方式,一周以后无规律ban掉。这样让对方没有方法去黑盒为啥会被ban。

    如果v2ex能开发出一个API仿VAC,让很多个人站长加入这个网络,共享一个黑名单,就更好了。这样一旦在一个地方作恶,大家都不待见。我觉得现在有号召力和影响力做成这个事情的只有 @livid
    gdm
        28
    gdm  
       2013-08-12 14:24:12 +08:00
    @dorentus 猜测可能是他开电脑的时间不固定,所以如果每天一次,很容易错过
    welsonla
        29
    welsonla  
       2013-08-12 14:27:57 +08:00
    @Livid 请问你用的什么服务器监控,new relic吗?
    Livid
        30
    Livid  
    MOD
    OP
       2013-08-12 14:29:14 +08:00   ❤️ 1
    @welsonla PB3 内部的 Anti Attack 逻辑,在触发报警时使用 Sentry 来记录 incident 及发送邮件。

    http://www.getsentry.com/
    ulmate01
        31
    ulmate01  
       2013-08-12 17:38:29 +08:00 via iPad
    冒昧问一下。。。服务器大概什么配置。。。
    被ddcc的话,北岸一下用360网站卫士咯。。。
    话说我记得v2ex用过上海的服务器吧?
    chemhack
        32
    chemhack  
       2013-08-12 18:00:38 +08:00
    @Livid bingo

    @Gawie 你随便搜个“刷票代理”,按IP个数卖的

    V2EX构架上有问题,cache没做好,这种攻击根本防不住。封IP直接你就走到歪路上了。
    Insomnia
        33
    Insomnia  
       2013-08-12 18:19:24 +08:00
    从早晨开始,一直登陆不上 v2ex,后来换了 us.v2ex.com 才打开,但是打开不久就提示一个页面说要等多少多少秒才能打开之类的。。
    Livid
        34
    Livid  
    MOD
    OP
       2013-08-12 18:20:33 +08:00 via iPhone
    @Insomnia 你是否装了什么插件?
    xdeng
        35
    xdeng  
       2013-08-12 18:22:03 +08:00
    不是叫 分布式攻击 么
    Insomnia
        36
    Insomnia  
       2013-08-12 18:27:25 +08:00
    @Livid 我用的 Chrome,浏览器上有装一些插件,比如 alexa ,网页开发的,seo分析的,截屏的,但是感觉这些都不会有什么影响吧?
    Insomnia
        37
    Insomnia  
       2013-08-12 18:28:53 +08:00
    @Livid 现在依然无法用 www.v2ex.com 打开,需要使用 us.v2ex.com 才能。。
    Livid
        38
    Livid  
    MOD
    OP
       2013-08-12 18:31:28 +08:00   ❤️ 1
    @Insomnia 如果你试试在 /etc/hosts 里把 www.v2ex.com 绑定到 65.255.43.91 呢?
    Insomnia
        39
    Insomnia  
       2013-08-12 18:34:57 +08:00   ❤️ 1
    @Livid 绑定以后就可以打开了,谢谢
    qiuai
        40
    qiuai  
       2013-08-12 19:54:56 +08:00   ❤️ 1
    换IP不换UA的攻击,可能是挖掘机.很多机器运行挖掘机. 不过V2EX的情况可能性不大.
    然后还有一种就是PHP-DDOS.不过这个很少换IP.或者一个IP至少要用很久.
    再就是批量SOCKS5代理去跑.这个的成本太低了.网上甚至有大批的免费资源.
    再就是频繁换IP了.不过感觉好像不太可行,可以看看IP的分布规律.
    icedx
        41
    icedx  
       2013-08-12 22:02:15 +08:00
    难道是有人爬V2EX上的东西?
    xiaop
        42
    xiaop  
       2013-08-13 23:13:53 +08:00 via Android
    nginx可以限制单ip的连接数,配合fail2ban 疗效应当不错,我用过挡了不少,以前还发了个帖子说明
    olnyshe
        43
    olnyshe  
       2013-08-18 10:37:42 +08:00
    这2天白天是不是也有攻击啊。。
    打开V2EX经常504 Gateway Time-out 经常速度很慢.
    现在也是...
    bobopu
        44
    bobopu  
       2013-08-18 12:42:40 +08:00
    你上次提到的incapsula我看了下,免费版本是不提供cc和ddos攻击保护的。只有Business+套餐以上才有ddos攻击保护,但是价格高达299刀/月,真是天价。。
    af_test
        45
    af_test  
       2013-08-21 14:34:30 +08:00
    @bobopu 如果有备案,可以来试一下加速乐,免费版也提供 cc 和 DDoS 保护。
    af_test
        46
    af_test  
       2013-08-21 14:38:09 +08:00
    @Livid 100 多 IP 实在是太少了,我们每天处理的黑 IP 都好几千,高峰时期 2 万多,iptables 性能根本撑不住,自己开发内核模块。
    NStal
        47
    NStal  
       2013-08-21 16:52:01 +08:00
    借楼问一下 @Livid 前段时间有扒v2ex的数据做链接和关键词分析,2个线程大概1秒2-3个请求,不知道这个级别请求会不会被黑名单。
    Showfom
        48
    Showfom  
       2013-08-22 04:43:06 +08:00
    这只是 cc,最简单的攻击方式之一,用 socks5 代理挂上大量 IP,然后访问网站,造成服务器负载高,如果是 WordPress 之类读取 MySQL 数据很频繁的网站,就直接挂了。。。

    当然封起来也简单,直接把 IP 封掉即可。

    话说 UA 都一样,这个 CC 的程序比较弱。。。。
    Showfom
        49
    Showfom  
       2013-08-22 04:43:31 +08:00
    @bobopu 这个价格如果能防护几个 G 的攻击的话,很便宜很便宜很便宜了亲。。。
    nazor
        50
    nazor  
       2013-08-22 07:38:45 +08:00 via Android
    @Showfom you know eggs.
    bobopu
        51
    bobopu  
       2013-08-22 09:36:22 +08:00
    @af_test 据说这个很垃圾啊。
    bobopu
        52
    bobopu  
       2013-08-22 09:42:31 +08:00
    @Showfom 恩,我看了一下,incapsula的299刀/月的这个套餐,每月的ddos攻击防护流量是300G+,你觉得价格咋样?那个安全宝的收费服务,抗ddos最高套餐是每月100G流量,价钱是18万8!18万8啊18万8!!!
    af_test
        53
    af_test  
       2013-08-22 11:18:27 +08:00
    @bobopu 你说垃圾有实际测试吗?
    bobopu
        54
    bobopu  
       2013-08-22 16:22:28 +08:00
    @af_test 我有个站,使用乐和宝后发现攻击流量一大就被回源。可能我说垃圾有些过于片面和偏激了,但是我自己的实际使用情况是这样的。
    af_test
        55
    af_test  
       2013-08-23 11:08:34 +08:00
    @bobopu 回源是因为攻击导致你的免费流量用完了。有一点可以确定的是,受攻击时,加速乐的免费流量绝对比安全宝大。
    bobopu
        56
    bobopu  
       2013-08-23 17:19:27 +08:00
    @af_test 加速乐流量多少不清楚,安全宝这边我问他们的客服,说是没有流量限制。
    af_test
        57
    af_test  
       2013-08-24 18:48:04 +08:00
    @bobopu 呵呵,你自己去试一下就知道有没有流量限制。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1217 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 23:15 · PVG 07:15 · LAX 15:15 · JFK 18:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.