这是一个创建于 4120 天前的主题,其中的信息可能已经有所发展或是发生改变。
看到大概 100 多个不同的 IP,但是 UA string 一样,这是什么攻击工具呢?
 |
1
Comphuse 2013-08-12 02:24:31 +08:00
浏览器插件?木马伪造UA?
|
 |
2
chemhack 2013-08-12 03:40:58 +08:00
这不就最普通的CC攻击么。。。 淘宝上10块钱好几千IP。。。
|
 |
3
andybest 2013-08-12 03:45:17 +08:00
还是普通的http request? 攻击的什么url?
|
 |
5
DH 2013-08-12 04:35:37 +08:00
搞代理呀,我以前搞过,不过不是攻击别人。
每天把各个代理网站上的代理服务器地址下载下来,然后挨个测试,维护一个可用的代理池。 需要的时候,就随机从这里面那代理来用。 |
 |
6
est 2013-08-12 08:52:22 +08:00
@Livid 其实CDN可以试试支持 stale 内容功能。比如访问上游如果 5XX 错误的话,就直接返回最近一次200的内容。现在v2ex的cc攻击导致 mysql 连接过高,这个无解。
|
 |
8
winterx 2013-08-12 08:56:56 +08:00
难怪我怎么觉得昨天晚上V2EX访问很困难,
话说NGINX不是可以防御简单CC么?(虽然我用apache) |
 |
9
halfbloodrock 2013-08-12 09:08:14 +08:00
whois IP能看到是哪家提供商的么? 应该可以向供应商投诉。
|
 |
11
zhttty 2013-08-12 09:14:15 +08:00
实时上演攻防战么?
|
 |
12
1314258 2013-08-12 09:23:20 +08:00 via iPhone
@Livid 很替v2ex担心。牛逼联盟以前也是开论坛得罪黑客了。被人d到把域名卖掉了。中间不是没有被各路神仙打救过。无奈正不能胜斜。
|
 |
13
renyuan1985 2013-08-12 09:26:41 +08:00
@1314258 这社会太黑暗了!
|
|
15
1314258 2013-08-12 09:34:43 +08:00 via iPhone
@renyuan1985 简直给人d到起不来。而且这个人十分敬业,时刻关注,期间域名转向到163什么,后来换服务器什么,过一段时间又跑过来d。
|
 |
16
Sdhjt 2013-08-12 10:29:41 +08:00
被攻击比较严重的话,可以考虑挂到安全宝之类的工具后面。
|
 |
17
iqincai 2013-08-12 10:44:14 +08:00
昨晚 500 Internal Server Error
|
 |
18
xdata 2013-08-12 10:48:43 +08:00
昨晚的确是上不了... 一直500...
|
 |
19
olnyshe 2013-08-12 10:50:09 +08:00
最近几天晚上一直都有攻击吧..每天晚上的一段时间都打不开或者极慢...
|
 |
20
LokiSharp 2013-08-12 10:57:53 +08:00
貌似,每天晚上 8-9 点都会 500 。。。
|
 |
21
dreampuf 2013-08-12 11:00:12 +08:00
取证,报警
|
 |
22
soli 2013-08-12 11:15:11 +08:00
不是自动领取每日登录奖励的脚本么?
我的是每小时访问一次。 |
 |
24
Mihuwa 2013-08-12 11:47:44 +08:00
个人觉得以后部署了NB的防御,@livid 最好不要在v2ex上公布出来啊,公布新的防御多少会对那些好动的骚年们产生一些触动,会不自觉地来试试防御是有多强……毕竟再自信的软件防御只能针对具体已知的攻击,而骚年们的手段,往往千奇百怪啊。
实在不想每次打开v2ex就500…… |
 |
25
Livid MOD OP @Mihuwa 嗯,你猜对了。我发这样的帖子出来,确实就是想尽快能够把这些家伙钓出来,然后测试效果,然后根据测试再进一步优化。
|
|
27
est 2013-08-12 12:08:13 +08:00  3
|
|
30
Livid MOD OP 1
|
 |
31
ulmate01 2013-08-12 17:38:29 +08:00 via iPad
冒昧问一下。。。服务器大概什么配置。。。
被ddcc的话,北岸一下用360网站卫士咯。。。 话说我记得v2ex用过上海的服务器吧? |
|
32
chemhack 2013-08-12 18:00:38 +08:00
|
 |
33
Insomnia 2013-08-12 18:19:24 +08:00
从早晨开始,一直登陆不上 v2ex,后来换了 us.v2ex.com 才打开,但是打开不久就提示一个页面说要等多少多少秒才能打开之类的。。
|
 |
35
xdeng 2013-08-12 18:22:03 +08:00
不是叫 分布式攻击 么
|
|
36
Insomnia 2013-08-12 18:27:25 +08:00
@Livid 我用的 Chrome,浏览器上有装一些插件,比如 alexa ,网页开发的,seo分析的,截屏的,但是感觉这些都不会有什么影响吧?
|
|
37
Insomnia 2013-08-12 18:28:53 +08:00
|
|
38
Livid MOD OP 1
@Insomnia 如果你试试在 /etc/hosts 里把 www.v2ex.com 绑定到 65.255.43.91 呢?
|
 |
40
qiuai 2013-08-12 19:54:56 +08:00 1
换IP不换UA的攻击,可能是挖掘机.很多机器运行挖掘机. 不过V2EX的情况可能性不大.
然后还有一种就是PHP-DDOS.不过这个很少换IP.或者一个IP至少要用很久. 再就是批量SOCKS5代理去跑.这个的成本太低了.网上甚至有大批的免费资源. 再就是频繁换IP了.不过感觉好像不太可行,可以看看IP的分布规律. |
 |
41
icedx 2013-08-12 22:02:15 +08:00
难道是有人爬V2EX上的东西?
|
 |
42
xiaop 2013-08-13 23:13:53 +08:00 via Android
nginx可以限制单ip的连接数,配合fail2ban 疗效应当不错,我用过挡了不少,以前还发了个帖子说明
|
|
43
olnyshe 2013-08-18 10:37:42 +08:00
这2天白天是不是也有攻击啊。。
打开V2EX经常504 Gateway Time-out 经常速度很慢. 现在也是... |
 |
44
bobopu 2013-08-18 12:42:40 +08:00
你上次提到的incapsula我看了下,免费版本是不提供cc和ddos攻击保护的。只有Business+套餐以上才有ddos攻击保护,但是价格高达299刀/月,真是天价。。
|
 |
46
af_test 2013-08-21 14:38:09 +08:00
@Livid 100 多 IP 实在是太少了,我们每天处理的黑 IP 都好几千,高峰时期 2 万多,iptables 性能根本撑不住,自己开发内核模块。
|
 |
47
NStal 2013-08-21 16:52:01 +08:00
借楼问一下 @Livid 前段时间有扒v2ex的数据做链接和关键词分析,2个线程大概1秒2-3个请求,不知道这个级别请求会不会被黑名单。
|
 |
48
Showfom 2013-08-22 04:43:06 +08:00
这只是 cc,最简单的攻击方式之一,用 socks5 代理挂上大量 IP,然后访问网站,造成服务器负载高,如果是 WordPress 之类读取 MySQL 数据很频繁的网站,就直接挂了。。。
当然封起来也简单,直接把 IP 封掉即可。 话说 UA 都一样,这个 CC 的程序比较弱。。。。 |
|
52
bobopu 2013-08-22 09:42:31 +08:00
@Showfom 恩,我看了一下,incapsula的299刀/月的这个套餐,每月的ddos攻击防护流量是300G+,你觉得价格咋样?那个安全宝的收费服务,抗ddos最高套餐是每月100G流量,价钱是18万8!18万8啊18万8!!!
|
Select Language