探索未知,记录点滴

记一次网络攻击

Spread the love

没想到我这浓眉大眼、人畜无害的博客居然有一天也会遭到网络攻击。在此次网络攻击之前,本站已经用爱发电了近一年。趁此机会和大家分享一下前因后果。

《记一次网络攻击》

过程

  • 2019.5.27 晚11:27 ,接到瓦工发来的邮件说VPS遭受(D)DoS Attack,当时整个人是懵的

IP xx.xx.xx.xx is currently under a (D)DoS attack and has been nullrouted by our IP transit providers for a period of 1800 seconds.

To see more details about the attack please login to KiwiVM while attack is active.

  • 随即打开KiwiVM面板,看到大大的「黄色」警告:

《记一次网络攻击》

从图中可知:看上去VPS是被进站的两个几十字节的包给打死了,发包的ip居然是我自己的电脑。

遂感到很奇怪,因为现在一般的cc攻击会产生很大的发包数和攻击流量。又到后台看了CPU和网络的使用情况,并没有发现异常。

对方用我不知道的攻击方式攻击了不到一分钟,瓦工官方就给了半小时的黑洞,只能等待了。

  • 半小时后,也就是2019.5.28凌晨,VPS再度上线,博客也恢复了正常。到这篇博客发表的时候,一切看起来都挺正常。
  • 第二天我向瓦工官方发起了工单,并提出了「是否存在误判」这样的疑问。瓦工官方给我看了后台的log:

Hello,

We have extracted the full log. Looks like the attack was ~90000 icmp packets per second:

2019-05-29 11:27:32.824222 xx.xx.xx.xx > 45.63.58.213:0 protocol: icmp frag: 0 packets: 1 size: 60 bytes ttl: 0 sample ratio: 1
2019-05-29 11:27:32.824226 45.63.58.213:0 >xx.xx.xx.xx protocol: icmp frag: 0 packets: 1 size: 60 bytes ttl: 0 sample ratio: 1
2019-05-29 11:27:32.824233 45.63.58.213:0 >xx.xx.xx.xx protocol: icmp frag: 0 packets: 1 size: 60 bytes ttl: 0 sample ratio: 1
2019-05-29 11:27:32.824236 xx.xx.xx.xx> 45.63.58.213:0 protocol: icmp frag: 0 packets: 1 size: 60 bytes ttl: 0 sample ratio: 1
2019-05-29 11:27:32.824237 45.63.58.213:0 >xx.xx.xx.xx protocol: icmp frag: 0 packets: 1 size: 60 bytes ttl: 0 sample ratio: 1
2019-05-29 11:27:32.824238 45.63.58.213:0 >xx.xx.xx.xx protocol: icmp frag: 0 packets: 1 size: 60 bytes ttl: 0 sample ratio: 1

对方是一个vultr的服务器,在不到一分钟的时间发了9w个icmp包过来,此时我知道了自己是遭到DOS攻击(死亡ping)了。没想到现在还有人用这种方法做网络攻击,而我的VPS轻易中招了。

各方反应

  • 被攻击当晚

我:一瞬车软

舍友:闻所未闻,见所未见,xswl(指被四个包打死了)

群友:群主一到水群,所有吹水的人便都看着他笑,有的叫道,“群主,你小鸡又被人打了!”他不回答,对群里说,“不必惊慌,黑洞半小时罢了。”便贴出后台告示。他们又故意的高声嚷道,“你被四个不到1KB的包打死了!”群主睁大眼睛说,“你怎么这样凭空污机清白……这可是两核两G”“什么清白?我们今天亲眼见你博客一瞬404。”群主便涨红了脸,额上的青筋条条绽出,争辩道,“被打不能算耻辱……被打!……MJJ的事,能算打么?”接连便是难懂的话,什么“OVH高防”,什么“洪水攻击”之类,引得众人都哄笑起来:水群内外充满了快活的空气。

  • 第二天得知被DOS攻击后

大家:真被打了啊,默哀

后续

一切恢复正常之后,我考虑两个问题:

  1. 这样的网络攻击有办法防范吗?
  2. 瓦工的Tos这么严格,此次攻击究竟会产生怎样的影响?

就防范来讲,你可以选择上高防套cloudflare开5s盾打开waf防火墙用iptables限制ping发包速度,防止死亡ping。当然这些很多都需要烧钱,我这个用爱发电的小博客自然是没什么想法的。何况真的得罪了别人,真要几个T的流量进站,真是防不胜防。

目前针对网站最热门的攻击方式是cc攻击,攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS。

但是我也不想被死亡ping这种行为轻易打垮,于是用iptables限制了发包的速度,每秒钟ping发包不得超过5个。

参考文章:使用iptables 防止网络攻击| Dave’s Blog

接着我又发了工单给瓦工,向他们证实是否存在「被(D)DoS Attack超过三次VPS会被限制到明年」,瓦工给我的答复是:

Hello,

For inbound DDoS we do not set strict limits, however if we see repeat attacks we will ask you to move your project away from our network.

Thank you.

大意是:对于进站的攻击我们没有严格的限制,只要你不被短期内多次攻击就行。


所以终于放心下来,网络攻击防不胜防,又真实存在在我们的生活中。遇到了大家还是冷静下来处理,总会有方法的。

打赏 赞(2) 分享
分享到...
支付宝二维码图片

支付宝扫描二维码打赏

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Recommended
大家早就对「谷歌无限…