這是一篇來(lái)自客戶被DDOS攻擊的經(jīng)歷，希望可以幫到大家。

希望你只是無(wú)意中打開(kāi)了這篇博客，如果你是搜索到的這篇博客，那很有可能你也正在遭受攻擊困擾，希望你的錢能撐到攻擊結(jié)束。

7號(hào)發(fā)現(xiàn)博客無(wú)法打開(kāi)。

開(kāi)始以為是域名到期了，檢查一圈也沒(méi)發(fā)現(xiàn)異常，發(fā)現(xiàn)網(wǎng)頁(yè)解析也沒(méi)什么異常。

開(kāi)始著手查服務(wù)器和cdn，看 cdn 后臺(tái)時(shí)發(fā)現(xiàn)博客域名被cdn關(guān)閉了，原因是觸發(fā)了我設(shè)置的帶寬流量閥值，cdn 根據(jù)策略直接停止cdn服務(wù)，保護(hù)站點(diǎn)流量消耗異常。這看來(lái)是被人 DDOS 了。

想來(lái)想去可能是昨天在一個(gè)群里說(shuō)過(guò)一些網(wǎng)站被黑以后的解決方式，被別人給盯上了。

抓緊去群里說(shuō)了一下，群里有壞人，大家盡量不要暴露自己的網(wǎng)址。

然后開(kāi)始著手調(diào)查流量來(lái)源和如何防御攻擊，發(fā)現(xiàn)沒(méi)什么日志分析軟件，cdn 的流量日志不好分析。先開(kāi)開(kāi)網(wǎng)站cdn看看攻擊流量是不是還在，看了一下流量還在而且攻擊第二波峰比第一次還要高。

7號(hào)攻擊過(guò)去以后，自己也沒(méi)當(dāng)回事，以為只是別人練手打中了這個(gè)域名，單個(gè)博客一般不會(huì)被當(dāng)作攻擊目標(biāo)，畢竟攻擊也是需要成本的。后續(xù)也沒(méi)再管，覺(jué)得攻擊過(guò)去，后面也就沒(méi)什么事了。

但是域名一旦被人放到攻擊列表里，那就有了相應(yīng)風(fēng)險(xiǎn)了。

13號(hào)又有群友反應(yīng)無(wú)法訪問(wèn)網(wǎng)站，他完全靠百度的緩存頁(yè)面找到的我的一個(gè)QQ群，我再看cdn記錄發(fā)現(xiàn)又被進(jìn)行了一波攻擊，cdn又一次主動(dòng)保護(hù)關(guān)站了。

結(jié)合上次分析攻擊的經(jīng)驗(yàn)，因?yàn)樯洗伍_(kāi)啟了cdn的實(shí)時(shí)日志，這次嘗試使用騰訊云的實(shí)時(shí)日志進(jìn)行分析看看，但是發(fā)現(xiàn)騰訊云的cdn實(shí)時(shí)日志看著功能強(qiáng)大，但是我不會(huì)用，復(fù)雜無(wú)比，還要收費(fèi)，光日志索引都用了4個(gè)G。搜索cdn實(shí)時(shí)日志也沒(méi)分析出什么有用的信息。

一邊給騰訊云發(fā)工單咨詢?nèi)绾问褂脤?shí)時(shí)日志檢索，又關(guān)掉了實(shí)時(shí)日志，根據(jù)攻擊時(shí)間段，下載了cdn的離線日志，本地分析日志。

其實(shí)發(fā)工單的也沒(méi)太指望騰訊云能給什么解決方案，只是想咨詢一下如何使用實(shí)時(shí)日志快速搜索出有什么攻擊特征，可以在cdn配置中進(jìn)行限制。

騰訊云連著用北京、廣東、騰訊云官方電話給我電話，前三個(gè)電話都被認(rèn)為是廣告營(yíng)銷屏蔽掉了。

工單最后給的解決方案也是可以考慮配置 cdn的單ip并發(fā)，流量下行限制，設(shè)置預(yù)警閥值來(lái)操作。

最終的方案是可以考慮開(kāi)通騰訊云的scdn功能，普通cdn不支持防 ddos 和cc 攻擊，只有 scdn 支持防 ddos 和 cc 攻擊。就是要單獨(dú)花錢，起步價(jià)是3800，cc 和 ddos 防護(hù)流量超出還另行收費(fèi)。

要是能花錢解決也就不會(huì)發(fā)工單了。

要想不花錢，還是要自己動(dòng)手分析。

下載了cdn的日志，沒(méi)有順手的分析日志的軟件，上次嘗試360 的星云來(lái)分析日志，發(fā)現(xiàn)cdn 的日志星云沒(méi)法分析，這次嘗試把日志導(dǎo)入excel分析了一下攻擊源，導(dǎo)入excel 好像只能導(dǎo)入幾萬(wàn)行，不過(guò)也夠用了。

攻擊日志看大概是有幾萬(wàn)個(gè)不同 ip，完全靠封禁IP 基本不現(xiàn)實(shí)。

把分析出來(lái)的前20個(gè)高訪問(wèn)量的 ip 在 cdn 中進(jìn)行了屏蔽，前兩個(gè)IP比較厲害，一個(gè)IP幾分鐘內(nèi)訪問(wèn)了7000多次。

最近再觀察一下封禁了高峰 ip 之后的結(jié)果。

又買了一個(gè) 1T 的流量包預(yù)備著，這幸好是之前在雙十一買了一個(gè)1T的 cdn 流量包頂了一陣，這個(gè)流量包已經(jīng)在幾次攻擊過(guò)程中被消耗完了800G。

晚上剛買的1T流量也差不多了，這樣搞下去，簡(jiǎn)直是無(wú)底洞，普通CDN被攻擊消耗流量太大了。

思來(lái)思去，還是得去買個(gè)高防CDN吧，目前國(guó)內(nèi)性價(jià)比較高的就百度云加速。

弄個(gè)了專業(yè)版的，找代理商主機(jī)吧買，價(jià)格便宜一半，很劃算。

成功接入，安全攔截！贊一個(gè)！