這是一篇來自客戶被DDOS攻擊的經(jīng)歷，希望可以幫到大家。

希望你只是無意中打開了這篇博客，如果你是搜索到的這篇博客，那很有可能你也正在遭受攻擊困擾，希望你的錢能撐到攻擊結(jié)束。

7號發(fā)現(xiàn)博客無法打開。

開始以為是域名到期了，檢查一圈也沒發(fā)現(xiàn)異常，發(fā)現(xiàn)網(wǎng)頁解析也沒什么異常。

開始著手查服務(wù)器和cdn，看 cdn 后臺時發(fā)現(xiàn)博客域名被cdn關(guān)閉了，原因是觸發(fā)了我設(shè)置的帶寬流量閥值，cdn 根據(jù)策略直接停止cdn服務(wù)，保護(hù)站點(diǎn)流量消耗異常。這看來是被人 DDOS 了。

想來想去可能是昨天在一個群里說過一些網(wǎng)站被黑以后的解決方式，被別人給盯上了。

抓緊去群里說了一下，群里有壞人，大家盡量不要暴露自己的網(wǎng)址。

然后開始著手調(diào)查流量來源和如何防御攻擊，發(fā)現(xiàn)沒什么日志分析軟件，cdn 的流量日志不好分析。先開開網(wǎng)站cdn看看攻擊流量是不是還在，看了一下流量還在而且攻擊第二波峰比第一次還要高。

7號攻擊過去以后，自己也沒當(dāng)回事，以為只是別人練手打中了這個域名，單個博客一般不會被當(dāng)作攻擊目標(biāo)，畢竟攻擊也是需要成本的。后續(xù)也沒再管，覺得攻擊過去，后面也就沒什么事了。

但是域名一旦被人放到攻擊列表里，那就有了相應(yīng)風(fēng)險了。

13號又有群友反應(yīng)無法訪問網(wǎng)站，他完全靠百度的緩存頁面找到的我的一個QQ群，我再看cdn記錄發(fā)現(xiàn)又被進(jìn)行了一波攻擊，cdn又一次主動保護(hù)關(guān)站了。

結(jié)合上次分析攻擊的經(jīng)驗(yàn)，因?yàn)樯洗伍_啟了cdn的實(shí)時日志，這次嘗試使用騰訊云的實(shí)時日志進(jìn)行分析看看，但是發(fā)現(xiàn)騰訊云的cdn實(shí)時日志看著功能強(qiáng)大，但是我不會用，復(fù)雜無比，還要收費(fèi)，光日志索引都用了4個G。搜索cdn實(shí)時日志也沒分析出什么有用的信息。

一邊給騰訊云發(fā)工單咨詢?nèi)绾问褂脤?shí)時日志檢索，又關(guān)掉了實(shí)時日志，根據(jù)攻擊時間段，下載了cdn的離線日志，本地分析日志。

其實(shí)發(fā)工單的也沒太指望騰訊云能給什么解決方案，只是想咨詢一下如何使用實(shí)時日志快速搜索出有什么攻擊特征，可以在cdn配置中進(jìn)行限制。

騰訊云連著用北京、廣東、騰訊云官方電話給我電話，前三個電話都被認(rèn)為是廣告營銷屏蔽掉了。

工單最后給的解決方案也是可以考慮配置 cdn的單ip并發(fā)，流量下行限制，設(shè)置預(yù)警閥值來操作。

最終的方案是可以考慮開通騰訊云的scdn功能，普通cdn不支持防 ddos 和cc 攻擊，只有 scdn 支持防 ddos 和 cc 攻擊。就是要單獨(dú)花錢，起步價是3800，cc 和 ddos 防護(hù)流量超出還另行收費(fèi)。

要是能花錢解決也就不會發(fā)工單了。

要想不花錢，還是要自己動手分析。

下載了cdn的日志，沒有順手的分析日志的軟件，上次嘗試360 的星云來分析日志，發(fā)現(xiàn)cdn 的日志星云沒法分析，這次嘗試把日志導(dǎo)入excel分析了一下攻擊源，導(dǎo)入excel 好像只能導(dǎo)入幾萬行，不過也夠用了。

攻擊日志看大概是有幾萬個不同 ip，完全靠封禁IP 基本不現(xiàn)實(shí)。

把分析出來的前20個高訪問量的 ip 在 cdn 中進(jìn)行了屏蔽，前兩個IP比較厲害，一個IP幾分鐘內(nèi)訪問了7000多次。

最近再觀察一下封禁了高峰 ip 之后的結(jié)果。

又買了一個 1T 的流量包預(yù)備著，這幸好是之前在雙十一買了一個1T的 cdn 流量包頂了一陣，這個流量包已經(jīng)在幾次攻擊過程中被消耗完了800G。

晚上剛買的1T流量也差不多了，這樣搞下去，簡直是無底洞，普通CDN被攻擊消耗流量太大了。

思來思去，還是得去買個高防CDN吧，目前國內(nèi)性價比較高的就百度云加速。

弄個了專業(yè)版的，找代理商主機(jī)吧買，價格便宜一半，很劃算。

成功接入，安全攔截！贊一個！