序言
3天前网站遭遇DDoS攻击,持续时间10分钟左右,时间较短最后不了了之,然而,昨天下午出现了持续较久的攻击,对此不得不做出反击,本文第一次尝试将以小说的形式来分享一下被攻击经历。
初遇DDoS?
人在公司坐,锅从天上来。昨天下午刚从门派会议结束出来,网站客服小妹就匆忙过来说:网站出现问题了,很卡,有时还访问不了。我打开网站访问一下,访问不了,再看了一下预警系统,也给钉钉发送了多条预警信息,果真出问题了。结合着2天前也出现了这种情况,知道这是黑客通过第一次试探之后,现在正式发起猛烈攻击了。
迎接挑战
由于是公司的一个社区网站,访问量也不高,高层的意见是不再增加人手去开发拓展新功能,维持网站正常运行即可,所以网站是搁浅了一年多,指派了我来维护,对于以往的一些配置并没有过多的了解。按照道理,一个小网站并没有什么攻击价值,但是却出现了多次相同的攻击事件。也许是公司对手的搞事情,因为以前出现过挖人才事件。我知道对于这次攻击,并不能再像以前那样放任不管了,不然以后还会出现相同的事情,是时候迎接挑战了。
初次交锋
对方攻击在持续进行中。对于这样的情况,首先到了服务器的云监控控制台中观看整体情况。发现网络流出率与网络流量还有TCP连接数均很高。 用神器XShell连接到该服务器 使出free -m命令
free -m
并未发现有内存溢出情况 再使出一招top -c查看CPU使用情况与进程
top -c
这时发现连接控制台就非常卡了,没有完整展示出来
对于这样的情况再使出一招ps -ef | grep nginx查看nginx的进程号
ps -ef | grep nginx
然后再使用一招 kill -9 [pid]强制性把痛点nginx给切掉了
kill -9 8625 25610
这时再往云监控控制台观察发现所有的指标都开始恢复正常了
再次启动nginx
./nginx -c /usr/local/nginx/conf/nginx.conf
发现各项指标又开始飙升,对方是不肯收手啊
对此再使出一招 tail -f access.log查看nginx日志(该图是刚截的,当时没有截图)
tail -f access.log
终现敌踪通过日志发现有几个地址被大量访问GET /sw_db_pics/5bbe05a9e4b087bd13ca362c通过分析,知道这是一个图片链接,是早期其他开发人员配置的图片访问地址,知道了这个就好办了,对方竟然根据图片没设防盗链进行攻击导致TCP访问量大增。
再次出击通过 vi nginx.conf命令
vi /usr/local/nginx/conf/nginx.conf
找到了以下代码:
location /sw_db_pics/ { …… }
使出一招过滤防盗链,增加代码如下:
location /sw_db_pics/ { valid_referers xxx.com; if ($invalid_referer) { return 403; } …… }
过滤掉了非指定网站进来的连接统一返回403错误,这时再重启一下nginx
./nginx -t ./nginx -s reload
再次查看日志
发现非正常访问的连接都返回了403代码 网站访问一下,可以正常访问了,图片也正常显示,这回算是解决问题了吧,当然也可以通过过滤IP这种形式来解决,只是这样很容易造成误伤后果。
坑爹的微信(误伤)
本以为刚才的操作能够解决问题了,我也可以到茶水间去喝杯82年的咖啡压压惊,叫了网站客服小妹再试一下网站是否正常。发现PC端网站没有问题,但是微信公众号端却出现图片无法访问的情况。公司的网站做了PC版跟微信版的。 在次到nginx上查看日志发现微信端进入的网站在日志里的UA竟然没有带域名,再把微信端的网址在PC浏览器上访问一下发现是可以正常显示图片的,难道微信内置浏览器是使用了代理的吗?referer竟然是空的,当然自己也没去研究过微信的内置是怎么实现的,有空可以去研究一下。这样对于刚才的一顿操作算是失败了。
再次交锋
既然不能通过这样的设置,只能再找别的办法了。通过日志分析,该攻击方式很有特点,浏览器的内核竟然都是Dalvik/2.1.0(谷歌的Android虚拟机) 或者 WeChat/6.7.2.34(微信的)
这样就可以通过过滤特定的浏览器来达到拦截效果 接下来使出一招查看UA攻击的情况
tail -n 10000 /usr/local/nginx/logs/access.log | awk -F\" '{A[$(NF-1)]++}END{for(k in A)print A[k],k}' | sort -n | tail
这样就可以拦截对应的不正常的浏览器内核了
nginx对应位置修改如下:
location /sw_db_pics/ { valid_referers none blocked xxx.com; if ($invalid_referer) { return 403; } if ($http_user_agent ~* (Dalvik/*|\-|WeChat/*|Alexa\ Toolbar|Sogou\ web|Semrushbot|Scrapy|Curl|HttpClient)) { return 403; } …… }
再次重启nginx,发现PC端网站与微信端网站都能正常访问了,这算是短暂的胜利了吧!
安全提升
通过这次攻击经历,其实网络并不是想象中那样安全,看似平静,实质上波涛汹涌。对于DDoS攻击,尽量多做一些安全性设置,比如:云监控设置报警阈值,nginx隐藏版本防止已知漏洞被利用,设置IP白名单、设置缓存、设置IP连接数、并发量等等
下次再战
对于这次短暂的交锋,自身对安全意识有一定的提升,接下来可能还会有各种各样的攻击出现,希望自己能够接住考验哈~
第一次这样写文章,也算是缓解一下情绪吧,好了下班了,喝杯82年的雪碧压压惊
