被DDoS後的及時補救與一些思考

最近3天，我的小站

godbmw.com經歷了2次ddos。第一次因為沒有限制qps，短短幾分鐘內cdn被盜刷了300g流量。第二次完善了相關保護措施後，cdn依然被d了90g的流量。經過2天的遷移和補救，終於使得**服務恢復正常。用此篇記錄下整個奮戰過程。希望對廣大站長有幫助。

由於最近經常被ddos，所以不是很穩定，請見諒?

抱著懷疑的態度，我檢視了區域商分布，果然，海外的請求佔了總請求的98.24%。其中300多g的流量都來自海外，現在可以確定是歪果仁盜刷了我的cdn流量。

沒有辦法，被迫聯絡工單，但因為我自己的一些防禦沒做好，所以這次的補償不了了之。無奈，只能出錢補上了被盜刷的流量，以保證服務正常使用。並且在工單的交流中，增設了qps等安全措施。

毫無疑問，限制qps會影響使用者的正常使用，造成延遲。但保險起見，我還是設定了qps，只希望不要再被攻擊。

但好景不長，僅安穩度過了一天，又一波來自海外的ddos讓我不得不臨時關閉cdn和cos服務。下圖中第乙個峰值是上一次ddos，第二個峰值是這次的ddos。

這次的攻擊更高階，頗有一種「道高一尺，魔高一丈」的味道。因為之前應增設了qps等限制，但這樣完全限制不了ip**池等攻擊手段，黑客這次也選擇了體積較大的單檔案進行攻擊。

問題是：qps設定成5，專案還用不用了？如果使用者處於同乙個區域網下（校內網、wifi等場景），那在同一秒中只有乙個使用者可以正常使用？

最後，工程師還是call過來，經過了1小時的聊天，可以補償，但是要等一段時間才能批下來這90g的流量包。

經歷了2次ddos，我設定了「寬頻封頂配置「。根據平日的使用量，我估計「3mbps」，並且在超值的時候，返回404，關停服務。

當日晚，就接收到了cdn到達寬頻封頂的簡訊，自動關停了cdn服務：專案也無法正常使用了。

這次，徹底是絕望了，只能先關閉cdn服務，尋求別的解決方法。

在補救的時候，首先排除了工單的意見：回源到原站或者cos（物件儲存服務）。前者會直接造成伺服器癱瘓，ddos是結結實實打在伺服器上；後者cos也是流量或者寬頻後收費，本質上和cdn沒區別。

所以，關閉當前的cdn加速網域名稱，並且清空了cos中的檔案。然後針對個人**和專案應用做了不同的處理。

觀察被盜刷的資源，全部都是個人**的靜態資源。而公司專案只有合作的商戶在使用，並且在robots.txt中禁止了爬蟲，所以用利用另乙個賬號開啟了乙個新的cos並且開啟了對應的cdn加速網域名稱。

至於為什麼個人**和公司專案要放在一起，只是因為方便上傳和管理，現在看來省事一步，後患無窮。

借助免費的git平台，可以存放、**等資料，並且可以在外部訪問到。考慮到國內使用者居多，所以我將友鏈介面的和文章中的存放到了coding.net的公有倉庫中。

例如下面這種的位址就是：**搭建與運營/第一次遭遇雲伺服器完全崩潰/1.png

噹噹我把**放在coding或者github上時，雖然可以請求到**的內容，但是response header中的content-type欄位的值是:text/plain; ...。對於css樣式檔案，瀏覽器無法自動解析。因此，打包後的js、css等專案檔案不能放在git平台。

cloudflare的操作很簡單，首次註冊按照它的指導到網域名稱註冊上修改dns解析即可。如果是國外的網域名稱註冊商，幾分鐘就可以同步。國內的並沒有嘗試。如果成功了，console頁面就會顯示「active」。

剩下要做的就是把打包好的專案檔案上傳到伺服器，ip隱藏、快取、cdn等cloudflare都會幫你做好。不暴露伺服器ip位址，自然就是安全的！！！

到此，個人**就可以正常訪問了。

如果是個人專案，強烈推薦使用國外的「cloudflare」，免費、不限流量、抗攻擊，就像國外的jetbrians（教育版免費），都是有情懷的公司，致敬！！！