全球主机交流论坛

标题: 分享下如何不使用5秒盾来抵御CC攻击 [打印本页]

作者: NodeLoc 时间: 2024-2-29 19:06
标题: 分享下如何不使用5秒盾来抵御CC攻击
本帖最后由 NodeLoc 于 2024-2-29 19:08 编辑

近期，hostloc上面时不时有mjj说网站几天打不开了，一直被攻击。其实，签名站前段时间也一样，一直被攻击，几乎无间断。

这两天整得差不多了，顺便分享一下Nodeloc的防御的方法和心得及配置方案吧。

NodeLoc 起初因为速度原因选择的是 UCloud的特价机器，一年只有129￥，1c2g的香港机器，国内访问速度也是相当不错的，后面大概是12月份的时候，有mjj攻击，UCloud的策略是黑洞24小时，这对建站来说是不可接受的，所以放弃了UCloud，这里要吐槽一下，UCloud的机器129￥年付，我用了两个月，申请退款时是0退款，而且退款前也没有告知我，我退完才知道，是按正价算使用时间，这是非常霸王无耻的条款，鄙视垃圾UCloud。大家千万不要买他家了。

系统
这个时候站点是运行在宝塔上面的，因为人比较少，功能也比较简单，而且这个时候线路也不错，打开速度非常的快。

结果
从UCloud搬离后，我就在思考网站的搭建策略，如果有效的防范攻击又能取得不错的访问速度。

因为如果只是单纯的套个CF这样对国内的用户是很不友好的。

最终方案如下

这里其实应用服务器、数据库服务器、Redis,MeiliSearch 这3台其实可以分开放，但我选择了开3台 1c2g的服务器，每台负责独立的业务。

最重要的其实是前端的安装雷池的 waf 服务器，这台服务器既承担了攻击的角色，又是一台反代加速的服务器。

如果你的流量比较大，可以考虑拓展一下。

增加前端的WAF节点即可。

这样首先通过境内外分别，过滤掉绝大多数攻击。再通过WAF服务器，过滤掉额外的攻击。这个时候，到达服务器本身的就算有攻击，也是零星的流量了。

系统
我现在已经抛弃了宝塔，改用了 OLS ，因为OLS在缓存的应用方面，要强很多。我使用的是前端长亭雷池WAF + 后端 CyberPanel+OLS + 数据库层 MariaDB + Redis + 全文索引 MeiliSearch。

目前 NodeLoc 整体就是这么运行的，后面如果有问题，有调整，我还会在本帖更新。

另外，有些老哥如果还在被打得要死不我没有，也可以试试我的方案，也可以私聊我看看。

原方案： https://www.nodeloc.com/d/1233

作者: yushe 时间: 2024-2-29 19:09
方案不错

作者: jacob 时间: 2024-2-29 19:11
方案不错，就是麻烦点…

作者: 小猪猪是你 时间: 2024-2-29 19:32
CyberPanel网站看着不错

作者: scheme 时间: 2024-2-29 19:39
有些是源ip暴露了

作者: NodeLoc 时间: 2024-2-29 19:43

scheme 发表于 2024-2-29 19:39
有些是源ip暴露了

源ip配置下只允许cf和waf服务器访问就可以了。

作者: AKA舒克 时间: 2024-2-29 19:57
技术贴

作者: crm 时间: 2024-2-29 20:05
有些服务不能套cf ，不如callback等，很容易被爬出源ip，只能在白名单上下功夫

作者: NodeLoc 时间: 2024-2-29 20:08

crm 发表于 2024-2-29 20:05
有些服务不能套cf ，不如callback等，很容易被爬出源ip，只能在白名单上下功夫 ...

有callback的肯定是你信任的网站了。

作者: leglo 时间: 2024-2-29 20:18
区分境内外分别接入，这个得购买专业的DNS来解析域名吧？另外，香港澳门的流量属于境外还是境内？

作者: crm 时间: 2024-2-29 20:20

NodeLoc 发表于 2024-2-29 20:08
有callback的肯定是你信任的网站了。

我现在的解决办法是用多个域名解析不同的服务到二级域名。

用k8s 解决网关解析问题，除非被破解ssh密码，不然进不来内网，全部业务容器化，可以有效抵抗cc，之前被打过一次20台16核64g服务器+负载均衡器，顶住了20w连接数，最终数据库吃不消被打重启了，后来换成分布式数据库，再套cf基本上需要很大的成本才能打挂服务。

作者: NodeLoc 时间: 2024-2-29 21:16

leglo 发表于 2024-2-29 20:18
区分境内外分别接入，这个得购买专业的DNS来解析域名吧？另外，香港澳门的流量属于境外还是境内？ ...

华为云国际就可以了，不用实名。港澳台也可以区分。

作者: NodeLoc 时间: 2024-2-29 21:18

crm 发表于 2024-2-29 20:20
我现在的解决办法是用多个域名解析不同的服务到二级域名。

用k8s 解决网关解析问题，除非被破解ssh密 ...

大佬，你这是什么业务，20台 16c64g ........... 其实软件层面也要用相应的解决方案，想数据库不被穿的话，把业务数据想办法放到redis上，做读写分离。

作者: shenyina 时间: 2024-2-29 22:38
MeiliSearch怎么用 wp怎么导入数据

作者: iiss 时间: 2024-2-29 22:54
本帖最后由 iiss 于 2024-2-29 22:57 编辑

哦没事了图片没显示出来
-----------
防火墙用的哪家的啊
还是自己过滤啊，自己过滤总会有漏网之鱼

作者: Tou 时间: 2024-2-29 23:06
使用redis记录和限制每分钟ip请求次数不行吗

作者: NodeLoc 时间: 2024-2-29 23:22

shenyina 发表于 2024-2-29 22:38
MeiliSearch怎么用 wp怎么导入数据

wp 有 meilisearch 插件，新数据会自动加入索引，老数据批量导入下就行了。

作者: leglo 时间: 2024-2-29 23:23
本帖最后由 leglo 于 2024-2-29 23:32 编辑

NodeLoc 发表于 2024-2-29 21:16
华为云国际就可以了，不用实名。港澳台也可以区分。

soga，原来华为云国际版的DNS可以免费提供这个功能，阿里云国内的就需要花钱~
你的WAF使用雷池，这个看起来怎么好像和云锁是差不多的，都是防CC和一些安全注入等，无法防DD，也没法掩护IP，那么国内访问拿到IP，直接就可以D死了

作者: NodeLoc 时间: 2024-3-1 00:37

leglo 发表于 2024-2-29 23:23
soga，原来华为云国际版的DNS可以免费提供这个功能，阿里云国内的就需要花钱~
你的WAF使用雷池，这个看起 ...

你用个dmit或者斯巴达就可以了。

作者: Prk 时间: 2024-3-1 00:40
老兄，一般发起 DDOS / CC 攻击的都是境外 IP，境内的 IP 几乎做不到用来打 DDOS / CC 的肉鸡

作者: NodeLoc 时间: 2024-3-1 00:41

Prk 发表于 2024-3-1 00:40
老兄，一般发起 DDOS / CC 攻击的都是境外 IP，境内的 IP 几乎做不到用来打 DDOS / CC 的肉鸡 ...

很多的，你没遭遇到而已。国内肉鸡多的很。

作者: leglo 时间: 2024-3-1 00:56

Prk 发表于 2024-3-1 00:40
老兄，一般发起 DDOS / CC 攻击的都是境外 IP，境内的 IP 几乎做不到用来打 DDOS / CC 的肉鸡 ...

soga

作者: deyu 时间: 2024-3-1 02:52
make

作者: 美女约吗 时间: 2024-3-1 03:12
这个论坛用的是什么程序啊

作者: NodeLoc 时间: 2024-3-1 08:19

美女约吗发表于 2024-3-1 03:12
这个论坛用的是什么程序啊

Flarum.

作者: 蓝色梦想 时间: 2024-3-1 08:24
OLS是什么东东？

作者: 雪丫鬟 时间: 2024-3-1 08:34
屏蔽国内IP就是了。

作者: dot3sa 时间: 2024-3-1 09:26

NodeLoc 发表于 2024-3-1 08:19
Flarum.

你论坛进不去了。转圈圈半个小时还没进。。。

作者: NodeLoc 时间: 2024-3-1 09:28

dot3sa 发表于 2024-3-1 09:26
你论坛进不去了。转圈圈半个小时还没进。。。

刚在更新，现在好了。

作者: cheshirex 时间: 2024-3-1 09:31
CF免费版不是要接入他的DNS吗？接入后还怎么搞分区解析？

作者: NodeLoc 时间: 2024-3-1 09:32

cheshirex 发表于 2024-3-1 09:31
CF免费版不是要接入他的DNS吗？接入后还怎么搞分区解析？

CF Cname接入就可以了。

作者: cheshirex 时间: 2024-3-1 09:33

NodeLoc 发表于 2024-3-1 09:32
CF Cname接入就可以了。

免费版不能CNAME吧

作者: rainerosion 时间: 2024-3-1 09:33

cheshirex 发表于 2024-3-1 09:31
CF免费版不是要接入他的DNS吗？接入后还怎么搞分区解析？

Cloudflare的SaaS可以做到，做一个cname到cloudflare就行了

作者: cheshirex 时间: 2024-3-1 09:34

rainerosion 发表于 2024-3-1 09:33
Cloudflare的SaaS可以做到

好的，谢谢大佬

作者: 夏天666 时间: 2024-3-1 17:30

leglo 发表于 2024-2-29 20:18
区分境内外分别接入，这个得购买专业的DNS来解析域名吧？另外，香港澳门的流量属于境外还是境内？ ...

香港，澳门的属于境外了

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)