防御DDOS和CC方案,WordPress博客被攻击了19天

  • A+
所属分类:WordPress
摘要

2017年,防CC攻击、DDOS攻击最佳方案,亲身测试,杜绝一切攻击,总共耗时19天,终于防御住了,太不容易了。

这里就不讲CC、DDOS概念了,大家请百度一下。2017年最恶心的一年,人怕出名,猪怕壮,网站断断续续遭到不良分子的攻击,这个月网站经常打不开,攻击方式基本全用齐了,把我惹怒了。

本来就是个刚会做站的人,不懂防御,然而被打了19天,反反复复被打死,全球各大主机来回跑,边打游击,边学习如何防御,下边名词不明白的请百度。总之按本篇文章操作,防御攻击妥妥的。

现在流行分布式攻击,查看访问日志,大批的美国IP、日本IP、以及其它国家的IP,好了,言归正传,来说下现在最流行的CC和DDOS攻击如何防御吧。

大部分的服务器、云主机、VPS主机、虚拟主机都不防DDOS的,国内的阿里云、腾讯云等主机商免费提供5G带宽峰值,但这点根本不够黑客打的,一打就黑洞,SSH根本连不上。

其实说白了,CC就是堆软件,DD就是堆硬件,堆的越多,防御越强,跟防御阵地一样。

1、使用CDN

CDN缓存节点,非常好,凡是被DDOS的,一定是被暴露的自己的真实IP,所以必须使用CDN来隐藏,国内选择百度云加速、国外选择cloudflare,再查IP,显示的都是节点IP。然而免费的CDN虽然隐藏了IP,但只能防御几G的量,一旦超出,CDN商便会停止节点解析,直接解析到真实的主机IP上。

cloudflare:美国著名CDN商,黑客的噩梦,见到是CF的节点,黑客都懒得去打,CF防御CC攻击的效果差,高级版可以防御DDOS,价格200刀/月,请查看设置教程

付费的CDN最能抗,然而费用非常高,付费CDN做的最好的是国内和国外的cloudflare,然而价格都不便宜,每个月一两千。你没看错,防御DDOS就是烧钱的节奏,所以很多站直接被打死,就是因为烧不起。

2、使用高防主机

找主机最苦逼了,很多号称高防主机,其实根本就防不住,因为机房的带宽就那些,被DDOS严重了,机房都是封IP,像国内的主机,基本300G峰值是个槛了,如果攻击你的流量大于这个值,你就必须上CDN了。

法国OVH以抗DDOS闻名世界,两个机房加拿大和法国免费提供480G的DDOS,黑客看到是法国OVH的机房,都没信心去打了。官方不支持国人购买,所以需要在二级代理商轻云LightCloud那买才行,OVH到中国的线路不好,所以访问延迟和速度差的很。

3、安装防火墙

虽然主机都带有防火墙,但自带的非常的鸡肋,基本可以忽视,国内比较有名的防火墙没有几个。

金盾:金盾在国内是老资格了,很多服务器安装的都是金盾,防御DDOS效果不错,国内各大高防机房的软件,安装的都是金盾,防CC、DD都不错。

4、拒绝访问

我从不用windows的主机,感觉漏洞太多,一直用Linux主机,nginx设置比较方便些。

拒绝非中文用户访问:这需要修改 /usr/local/nginx/conf/duimin.com.conf,正常的非中文访问的全部404错误页面。

if ( $http_accept_language ~* ^[^zh])

{

return 404; #非中文用户访问网站返回404

}

安装CCKiller:轻量级CC攻击防御脚本,由张戈编写,登录ssh,运行以下代码,然后输入y回车,回车,安装完成。每20秒检查一次,单个IP并发超过100,将会拉黑10分钟。

wget -O install.sh --no-check-certificate https://zhangge.net/wp-content/uploads/files/cckiller/install.sh?ver=1.0.5 && chmod +x install.sh && bash install.sh -i

只允许中国访问:大部分的CC攻击都是来自国外,我网站都中国客户,封国外IP的话,用IP段太苦逼,直接用cloudflare的墙功能,我添加了254个国家,让他们访问都需要验证码。

禁止访问动态页面:动态就会读数据库,查询过多就会满CPU,网站就会挂,所以必须全站静态化,我用wordpress建的网站,所以我只懂wordpress的静态化。

  • WP Super Cache缓存插件,一键缓存全站静态化,随便它CC。
  • install.php,动态,我直接删除了它,/wp-admin/install.php,只有安装才会用它。
  • wp-login.php,必须修改wordpress后台登录地址,跳转到首页。
  • /?s=,自带的查询功能真的很坑,多个IP同时刷新一个查询页面,瞬间死战,直接关闭搜索功能。

5、多主机IP、多主机节点

如果是DDOS攻击,主机分配的IP多的话,可以解析得到多个地址。也可以购置多个主机,分别解析绑定主机,一个IP或一个主机被攻击,其它IP或主机可以分担攻击流量。

6、服务器系统和网站系统

这个是最后一点了,网站安全的首要任务就是网站无漏洞让黑客钻进,所以必须把安全做到极致。

版本:系统或插件每个版本出来都会有漏洞,所以尽量使用老版本,稳定版本,不要使用过度版本。比如CentOS现在更新的7.X了,但我还是在用6.8,wordpress到4.7了,但我还是用3.X。对于插件,能用代码的绝不用插件。

因为大多数新版本都有大量的漏洞,尽量用大版本,别用小版本,wordpress好几次小更新,存在大的漏洞,就会被黑客利用。

端口:关闭ping功能和端口,或者修改端口登录,或生成秘钥登录。保护端口的软件很多,比如宝塔面板,或者云锁都有保护作用。

这些法宝就是我总结的经验,然而我还是有些担忧,CC基本上没问题了,还是担心ddos量大的话,会扛不住,这个是硬伤啊,大几百G的流量就必须上CDN高级版了,心有不舍,所以想了最后的办法就是诅咒迫害网站的人,善恶到头终有报。

发表评论

:?::razz::sad::evil::!::smile::oops::grin::eek::shock::???::cool::lol::mad::twisted::roll::wink::idea::arrow::neutral::cry::mrgreen: