1. 網站是放在阿里云 ECS 上的， DDoS 攻擊后網站不能訪問。從阿里云的后臺看到流量在 15G 左右，網站服務器進入了阿里云的黑洞。?

40 分鐘后網站從黑洞里出來，瞬間又遭受攻擊并打入黑洞。接下來的 3 個小時一直重復這個過程…?

2. 因為已經嚴重影響業(yè)務了，所以購買了阿里云的高防 IP 。 DNS 解析到高防 IP 后，通知客服更換源 IP 。本以為高枕無憂，結果剛過了 10 分鐘，網站又被打入黑洞。?

攻擊者應該是找到了新的源 IP ，直接攻擊源服務器。因為高防 IP 到源 IP 走的是外網，所以源服務器進入黑洞后，高防 IP 無法連接源 IP ，導致網站又不能訪問。?

3. 發(fā)工單咨詢了阿里云客服，答復是 使用負載均衡 ELB ，即 高防 IP->負載均衡->源 IP 。負載均衡作為橋梁，與高防 IP 走外網，與源 IP 走內網，這樣即便源服務在黑洞中也可以訪問了。?

4. 對方發(fā)現 DDos 無效后，開始了 CC 攻擊，網站又陷入了癱瘓中。檢查以后發(fā)現 Mysql 連接數過多，而且連接狀態(tài)絕大多數是 Sleep 。查看 php 的 slowlog ，找到了原因：源服務器某些頁面需要對外請求微信服務器，因為不能訪問外網， php 程序阻塞住了，對 Mysql 的連接不能釋放。?

5. 修改代碼將微信和 QQ 相關的連接做了一個代理，對方是無法找到這個代理并打入黑洞的。?

6. 攻擊者開始變本加厲，最高時流量在 30G ， QPS 有 2 萬多，網站大量出現 502 錯誤，看來我蹩腳的 PHP 代碼已經扛不住了。 nginx 日志顯示其請求的網址比較固定，于是將這些頁面做了靜態(tài)化處理，并將非法的 POST 請求 ban 掉。哈哈！網站正常了。?

有一些經驗教訓，供大家參考：?

黑洞有一個觸發(fā)值，默認是 5G （ 5GB 的閾值可以根據安全信用增加）。因為之前網站的安全信用很好，以經提高到 12G 了。黑洞的時間最短 40 分鐘，最長 2 個半小時。整個攻防過程中，網站的信用評級直線下降，閾值降到 5G ，黑洞時間也延長到兩個小時。?

阿里云 ECS 是不能更換 IP 地址的，除非購買他們的高防 IP ，可以免費更換一次（后來發(fā)現實際可以更換多次）。?

DDoS 在自己的服務器端是無法防御的，無論是設置安全組還是防火墻，只能去購買高防 IP 或者 CDN 。不過根據這兩天的攻擊來看，無論是阿里云高防還是 CDN ，在大流量的攻擊下，源 IP 還是會暴露的。?

DDoS 確定是競爭對手所為，但不想 DDoS 回去。不能助長這些黑產，也不能像別人一樣 Low 。

作者：?vimrus

來源：V2EX